ID ベースの脅威は、攻撃やデータ侵害の主な原因となっています。 そのため、今日の組織は、ID 認識の向上と新しい脅威軽減戦略を必要としています。これは、ID ベースのゼロ トラスト アプローチを実装することによって最も効果的に達成できます。 以下は、ゼロ トラスト モデルがどのように機能するかの基本と、それを効果的に実装するためのベスト プラクティスです。
ゼロ トラスト モデルは、組織がインフラストラクチャ境界内外のすべての人を自動的に信頼するべきではないという考えに基づくセキュリティ アプローチです。 代わりに、システムにアクセスしようとするすべてのエンティティまたはユーザーは、自分自身を確認する必要があります。
ゼロトラストとは?
セキュリティ フレームワークとして、ゼロ トラストはネットワーク エッジの概念に取って代わります。 オンプレミス、クラウドベース、ハイブリッドのいずれであっても、ネットワーク インフラストラクチャを保護することに重点を置いています。 このフレームワークでは、ネットワークにアクセスしようとするすべてのユーザーとエンティティが、リソース、データ、またはアプリケーションにアクセスする前に、認証と承認を受ける必要があります。
ネットワークに入ったところでセキュリティは終わりません。 アクセスを維持するために、ユーザーのセッションを定期的に監視し、ID を定期的に検証する必要があります。 このアプローチは、リモート ワーカーやハイブリッド ワーカーによるワークスペースの保護などの課題に対処します。
ゼロ トラスト アプローチから最も恩恵を受けるのはどの組織か
インフラストラクチャ モデルに以下が含まれる場合:
- マルチクラウド、ハイブリッド、またはマルチ ID インフラストラクチャ
- BYOD または管理対象外のデバイス
- SaaS アプリケーション
- レガシー ソフトウェア
会社が次の課題に直面している場合:
- 適格な SOC 専門知識の欠如
- コンプライアンス要件
- 脅威の可視性の欠如
組織が次の攻撃ベクトルのリスクが高い場合:
- インサイダーの脅威
- サプライチェーンへの攻撃
- ランサムウェア
サービス プロバイダーまたはその他のサード パーティが会社のネットワーク内で作業している場合:
- 同社は、パブリック クラウド リソースにアクセスするリモート ワーカーを保護する必要があります。
- 同社の事業部門では、センサーなどの IoT デバイスを使用しています。
さまざまなユース ケースを持つ組織は、特定のニーズ、デジタル トランスフォーメーションの課題、およびセキュリティ戦略に合わせてゼロ トラストを調整することで、ゼロ トラストをうまく実装できます。
ゼロ トラスト認証の仕組み
企業にゼロ トラスト認証フレームワークを実装するには、ID 保護、エンドポイント セキュリティ、リスクベースの ID 管理、データ暗号化、多要素認証など、さまざまなテクノロジを組み合わせる必要があります。 テクノロジーを組み合わせるだけでなく、フレームワークを堅牢なクラウド インフラストラクチャに実装して、継続的な検証を可能にする必要があります。
継続的な監視と認証は、ゼロ トラスト アーキテクチャのコア要件です。 これを実現するには、組織は、ユーザーとデバイスのリスク レベルとコンプライアンス要件に対処するポリシーを適用する必要があります。 これは、セッション中にアクセス許可と属性を持つユーザーとデバイスの両方が継続的に認証される必要があることを意味します。
ゼロトラスト アーキテクチャの構築
ゼロ トラスト アーキテクチャを構築するには、組織はまずネットワークの重要なリソース、ユーザー、サービス、およびデータを特定する必要があります。 これにより、優先順位を付けてセキュリティ ポリシーを作成できます。
保護すべき重要なリソースを特定したら、組織の次のステップは、どのユーザーがどのリソースを使用しているかを把握することです。 ゼロトラスト認証アーキテクチャを実装するには、すべての特権アカウントをマッピングし、それらが何にどこから接続するかを制御する必要があります。ここではリアルタイムの可視性が必要です。
このため、ユーザーのリスク レベルはセッション中に変化する可能性があるため、セッションの開始時に身元を確認するだけでは十分ではありません。 したがって、このフレームワーク内のすべてのアクセス要求を継続的に検証することが必須です。 継続的な認証を実現するために、ゼロ トラスト ポリシーは、次のようなユーザーおよびアプリケーションの ID 属性を制御します。
- 資格証明の権限
- 行動パターン
- ユーザー ID
- 認証プロトコルのリスク レベル
包括的なゼロ トラスト アーキテクチャには、ユーザー、アプリケーション、およびインフラストラクチャが含まれます。
- ユーザー: フレームワークは、すべてのシステムに最小権限の原則を適用しながら、ユーザー ID とユーザー デバイスの整合性を認証する必要があります。
- アプリケーション: アプリケーションにゼロ トラストを適用することにより、アプリは信頼できないと見なされ、その動作を継続的に評価する必要があります。
- インフラストラクチャ: ルーターから IoT デバイスまで、インフラストラクチャ内のすべてがゼロトラストである必要があります。
ゼロ トラストのユース ケース: Capital One でのセキュリティ侵害
2019 年の米国の金融サービス会社 Capital One でのセキュリティ侵害は、不正アクセスの良い例です。 Amazon の元従業員が、元雇用主の資格情報を使用してデータベースに侵入しました。 サイバー犯罪者は 100 億を超える消費者向けアプリケーションを盗み、その結果、金融会社は 80 万ドルの罰金を科されました。 このケースは、ハイブリッドおよびクラウド環境にゼロトラストおよびアクセス管理ツールを実装することの重要性を示しています。 クラウドまたはハイブリッド環境は、ゼロ トラスト アプローチを実装することで、不正アクセスからより堅牢に保護されます。 ゼロ トラスト ソリューションは、疑わしい場所と時間からのハッキングの試みを検出して防止できたはずです。
適切なテクノロジーを使用した ID ベースのゼロトラスト アーキテクチャ
適切なソリューションを実装することで、ゼロ トラスト アーキテクチャへの移行を簡素化できます。 侵害された資格情報を使用して標的のリソースにアクセスする攻撃に対するリアルタイムの防止、検出、および対応のために特別に設計された ID 脅威保護プラットフォームを用意することをお勧めします。 このソリューションは、革新的なエージェントレスおよびプロキシレス テクノロジーを使用して、既存のすべての IAM ソリューション (AD、ADFS、RADIUS、Azure AD、Okta、Ping Identity、AWS IAM など) とシームレスに統合し、以前は保護できなかったリソースまで対象範囲を拡大します。 - たとえば、自家製/レガシー アプリケーション、IT インフラストラクチャ、ファイル システム、コマンド ライン ツール、マシン間のアクセスなど。 これにより、動的で複雑なクラウドおよびハイブリッド環境での ID ベースの攻撃を効果的に防止できます。
サイバー犯罪者が資格情報を悪用してリソースにアクセスする ID ベースの攻撃は、今日の企業セキュリティに対する最大の脅威の XNUMX つです。 ただし、ID ベースのゼロ トラスト アプローチにより、セキュリティ担当者は攻撃が成功するリスクを大幅に最小限に抑えることができます。
詳細は www.silverfort.com をご覧ください
シルバーフォートについて Silverfort は、エンタープライズ ネットワークとクラウド環境全体で IAM セキュリティ制御を統合して ID ベースの攻撃を軽減する、初の統合 ID 保護プラットフォームを提供します。 Silverfort は、革新的なエージェントレスおよびプロキシレス テクノロジーを使用して、すべての IAM ソリューションとシームレスに統合し、リスク分析とセキュリティ制御を統合し、自社開発およびレガシー アプリケーション、IT インフラストラクチャ、ファイル システム、コマンド ラインなど、以前は保護できなかった資産に対象範囲を拡大しました。ツール、マシン間アクセスなど。