カテゴリー

セキュリティ Security

ゼロトラストアーキテクチャにおける可視性と分析の役割

  1. HOME >
  2. セキュリティ Security >

ゼロトラストアーキテクチャにおける可視性と分析の役割

ゼロトラストアーキテクチャ(ZTA)は新しい概念ではありませんが、今年初めに発行されたホワイトハウス大統領令により、ネットワーキングスペースの多くの人が、ネットワークの可視性分析が方程式にどのように適合するかについて質問し始めました。これに答えるには、まず、このシフトを推進しているものを確認する必要があります。

可視性分析ゼロトラスト

EOのセクション3は、エージェンシー(およびエージェンシーと協力している組織)がセキュリティのベストプラクティスを採用し、ZTAに向けて前進し、クラウドサービスSaaS、IaaS、およびPaaSを保護するための動きを加速する必要があると述べています。政府機関は、既存の計画を更新して、クラウドテクノロジーの採用と使用のためのリソースに優先順位を付け、ZTAを実装する計画を作成するよう求めました(NISTの移行手順を使用)。また、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)に対して、ZTAを使用したクラウドコンピューティング環境で完全に機能するように近代化すること、およびFedRAMPがエージェンシーの近代化の取り組みに組み込むためのクラウドサービスプロバイダーを管理するセキュリティ原則を開発することを求めました。

ZTAとは何かについてベンダーが混乱している中で、ネットワークの可視性(および要件)への影響を調査したいと思います。

NISTによると、「ゼロトラストとは、防御を静的なネットワークベースの境界からユーザー、資産、およびリソースに集中させる、進化する一連のサイバーセキュリティパラダイムの用語です。ZTAは、ゼロトラストの原則を使用して、産業およびエンタープライズのインフラストラクチャとワークフローを計画します。」このアプローチの基本的なNISTの信条は次のとおりです。

  • エンタープライズプライベートネットワーク全体は、暗黙の信頼ゾーンとは見なされません
  • ネットワーク上のデバイスは、企業が所有または構成できない場合があります
  • 本質的に信頼されているリソースはありません
  • すべてのエンタープライズリソースがエンタープライズ所有のインフラストラクチャ上にあるわけではありません
  • リモートのエンタープライズサブジェクトとアセットは、ローカルネットワーク接続を完全に信頼できません
  • 企業インフラストラクチャと非企業インフラストラクチャの間を移動する資産とワークフローには、一貫したセキュリティポリシーと姿勢が必要です。

しかし、ZTAはネットワークの可視性またはネットワークパフォーマンスモニタリング(NPM)にどのように関連していますか?

ZTAには、ネットワークの可視性に影響を与える3つのNISTアーキテクチャアプローチがあります。1つ目は、強化されたIDガバナンスを使用することです。これは、(たとえば)ユーザーのIDを使用して、検証された特定のリソースへのアクセスのみを許可することを意味します。2つ目は、マイクロセグメンテーションを使用することです。たとえば、クラウドやデータセンターの資産やワークロードを分割する場合、他のトラフィックをセグメント化して、横方向の動きを抑制します。そして最後に、ネットワークインフラストラクチャと、たとえばリモートワーカーが特定のリソースにのみ接続できるゼロトラストネットワークアクセス(ZTNA)などのソフトウェア定義の境界を使用します。

NISTは、ZTA展開の監視についても説明しています。ネットワークパフォーマンスの監視には、可視性のためのセキュリティ機能が必要であることを概説します。これには、資産ログ、ネットワークトラフィック、リソースアクセスアクションなど、トラフィックを検査してネットワークに記録する(および分析して、潜在的な攻撃を特定して到達する)必要があることが含まれます。

さらに、NISTは、関連する暗号化されたすべてのトラフィックにアクセスできないことについて懸念を表明しています。これは、企業が所有していない資産(エンタープライズインフラストラクチャを使用してインターネットにアクセスする契約サービスなど)や、耐性のあるアプリケーションやサービスから発生する可能性があります。パッシブモニタリングに。ディープパケットインスペクションを実行したり、暗号化されたトラフィックを調べたりできない組織は、他の方法を使用して、ネットワーク上の攻撃者の可能性を評価する必要があります。

国防総省の7信頼の柱でZTAアーキテクチャダウン休憩:ユーザー、デバイス、ネットワーク/環境、アプリケーションやワークロード、データ、可視性と解析、および自動化とオーケストレーション。当然のことながら、NPMは可視性と分析の柱に直接関係しています。NPMがZTAアーキテクチャに適合する4つの方法は次のとおりです。

  • NPMは、アプリケーションやユーザーを含む他の柱全体のパフォーマンス、動作、およびアクティビティのコンテキストの詳細と理解を提供できます。たとえば、ネットワークのさまざまな部分でアプリケーションのパフォーマンスを監視したり、サービス拒否やネットワークデバイスの侵害などのセキュリティ問題を指摘したりします。NPMは、さまざまなユーザーデバイスからのアプリケーションのトラフィックパターンに関するユーザーの行動の分析も提供できます。
  • NPMは異常な動作の検出を改善し、利害関係者がセキュリティポリシーとリアルタイムのアクセス決定に動的な変更を加えることを可能にします。たとえば、ネットワークAIOpsを活用して、サイト内およびサイト間での異常な動作を探します。大量のトラフィックが何らかのタイプのデータ漏えいを示している場合は、アラートを出し、セキュリティポリシーを調整できます。別の例は、VXLANを使用し、各VXLAN内のトラフィックを含むさまざまな仮想ネットワークの可視性を持つマイクロセグメント化ネットワークの場合です。これは、適切なセキュリティポリシーが機能しているかどうかを理解するために知っておくことが重要です。
  • NPMは環境の状況認識を提供し、応答のアラートをトリガーします。たとえば、SD-WANネットワークでは、アプリケーションは使用するパスを調整できますが、これはパフォーマンスとセキュリティに影響を与える可能性があります。SD-WANに統合されたNPM製品は、これらのタイプの状態を警告できます。もう1つの例は、拒否されたトラフィックの監視とアラートを使用して疑わしいアクティビティを探し、それに応じてクラウドセキュリティポリシーを調整できるクラウドネットワークです。
  • NPMはトラフィックをキャプチャして検査します。これにより、ITは特定のパケットを調査し、ネットワーク上のトラフィックを正確に検出し、防御を方向付けるために存在する脅威を観察できます。たとえば、暗号化されたトラフィック分析(ETA)を使用すると、パケット分析を使用して、疑わしい動作がないかトラフィックを継続的に監視し、それを脅威インジケーターと相関させて、影響の大きいインシデントをリアルタイムで絞り込むことができます。トラフィックの多くが暗号化され、そのトラフィックを可視化することが企業およびクラウド環境にとって重要であるため、これはますます重要になっています。

組織がZTAとの整合性を模索しているため、可視性は新しい要件を満たす上で重要な役割を果たします。

-セキュリティ Security