ゼロ トラストは、最も重要なセキュリティ モデルの XNUMX つになりました。 概念はシンプルで直感的です。暗黙の信頼はそれ自体が脆弱性であり、攻撃者はこれを悪用してラテラル ムーブメントや機密データへのアクセスを行うことができます。 ゼロ トラスト アプローチでは、企業環境から暗黙の信頼を排除することで、このリスクを軽減しようとします。
ゼロトラストは、セキュリティ侵害がすでに発生していると常に想定しています。 たとえば、攻撃者は防御策の一部を回避し、企業環境に足場を築くことに成功しました。 攻撃の次の段階では、ハッカーはネットワークを横に移動し、貴重なデータや資産が見つかるまで追加のリソースにアクセスします。 ゼロ トラスト モデルは、ハッカーが企業環境にいるときの被害を大幅に制限することを目的としています。
これまで、ゼロ トラストは主にネットワーク インフラストラクチャを再構築し、セグメンテーション ゲートウェイを使用して複数のマイクロ境界に分割することで、ネットワーク レイヤーに実装されてきました。 しかし最近では、ネットワークの側面ではなく ID レイヤーに焦点を当てた別のゼロトラスト アプローチが勢いを増しています。
ネットワークベースと ID ベースのゼロ トラスト
ゼロ トラストは、企業環境内のリソースへの悪意のあるアクセスを防止するように設計されています。 このようなアクセスはネットワーク接続上のデバイスによって実行されますが、リソースにアクセスするにはユーザー認証も必要です。 暗黙の信頼環境では、このユーザー アカウントが侵害された場合、ハッカーはそれを使用して任意のリソースに自由にアクセスしたり、ネットワーク内を横方向に移動したりできます。 ただし、詳細な検証がネットワーク接続ではなく、認証自体に基づいている場合は、ゼロトラスト モデルも実現できます。 ネットワーク セグメンテーション ルールとリスクベースの認証ポリシーはどちらも、悪意のあるアクセスの試みをブロックするための便利なツールです。 ただし、後者の方が実装が簡単で、多くの場合、より高い粒度とリスク検出機能を提供します。
ID ベースのゼロ トラストの仕組みの詳細
ID ベースのゼロ トラストは、ユーザーが企業リソースにアクセスしようとするたびに、リスクを評価し、安全なアクセス制御を実施することに依存しています。 各アクセス リクエストは、ユーザーがどこにいても、アクセスされているリソースがオンプレミスかクラウドかに関係なく監視されます。 さらに、アクセス要求に関連するリスクは常に分析され、適応型のリスクベースのポリシーが、オンプレミスとハイブリッド環境の両方のネットワーク全体に適用されます。 リソースへのアクセスは、ユーザーの認証アクティビティの詳細なリスク分析の後にのみ許可され、特定のアクセス要求に対して有効です。 このリスク分析は、個々のアクセス試行ごとに実行する必要があります。
今日のエンタープライズ環境には、物理サーバー、SaaS アプリケーション、クラウド ワークロード、ファイル共有、オンプレミス アプリケーションなど、さまざまな種類のリソースが含まれています。 ID ベースのゼロ トラストとは、次の基準が満たされていることを意味します。
- すべてのユーザー アカウントは侵害されていると見なされ、そうでないことが証明されるまでは信頼できません。
- ユーザー アカウントは、検証された後にのみ信頼され、単一のリソース アクセスに対してのみ信頼されます。
- 検証済みのアクセス要求の後にユーザーが別のリソースにアクセスしようとすると、再度検証する必要があります。
たとえば、認証を使用して企業の VPN に接続されたリモート ユーザーです。 内部環境に入ると、このユーザーはファイル サーバーにアクセスしようとします。 ID ベースのゼロ トラストでは、VPN 認証が成功しただけでは、このユーザー アカウントが信頼できるとは限りませんが、このアクセスとユーザーの信頼性を常にチェックします。
ID ベースのゼロ トラスト評価プロセス
- すべてのユーザー アカウントによるあらゆるタイプのローカルまたはクラウド リソースへのすべてのアクセス要求を継続的に監視し、包括的な監査証跡を作成します。
- リスク分析: 個々のアクセス試行ごとに、ユーザーが実際に危険にさらされる可能性が評価されます。 このリスクの決定は、ユーザーの行動、監査証跡、およびさまざまなコンテキスト パラメータの分析に基づいています。
- リアルタイムのアクセス ポリシーの適用: 計算されたリスクに基づいて、アクセスを許可またはブロックするか、多要素認証 (MFA) を強化します。
(画像:シルバーフォート)。
この図は、ID ベースのゼロ トラストの観点から見たハイブリッド エンタープライズ オンプレミスおよびクラウド環境でのユーザー ジャーニーを示しています。
この図は、個々のアクセス要求がどのように詳細なリスク分析を受け、その結果、アクセス ポリシーに基づいて MFA を使用してユーザー アクセスを許可するか、アクセスをブロックするか、または認証要件を強化するかを示しています。
ID ベースのゼロ トラストのメリット
ID ベースのゼロ トラスト アプローチには、実装、管理、およびセキュリティ上の大きなメリットがあります。
- シンプルで実装が簡単: ネットワークベースのゼロトラストとは異なり、インフラストラクチャの変更や関連するダウンタイムは必要ありません。 エリア内のものを取り外して交換する必要はありません。
- 高い粒度: ネットワーク セグメントではなくユーザーに焦点を当てることで、リソース アクセスごとにリスク分析が実行されます。これは、セグメント ゲートウェイでのみこのチェックを実施でき、内部の実際のリソースに関する洞察がないネットワーク ベースのアプローチとは対照的です。セグメント自体。
- 異常と脅威を検出する能力の向上: 企業環境内での攻撃者の動きは、正当なユーザーと比較して異常です。 すべてのリソース アクセスに対してセキュリティ チェックを実行すると、隠れた悪意のあるアクティビティを発見する可能性が高くなります。
セキュリティ リーダーが、すべてのユーザー、すべてのリソース、およびすべてのアクセス インターフェイスに対して、すべてのアクセス試行をリアルタイムで監視、分析、およびアクセス ポリシーを適用できることが重要です。 これは基本的な要件であり、これがなければ組織は部分的な保護しか受けられず、ゼロ トラスト モデルの価値は無効になります。 このため、組織は統一された ID 保護プラットフォームの実装を検討する必要があります。
Unified Identity Protection: ID ベースのゼロ トラストの実践
Unified Identity Protection は、侵害されたユーザー資格情報を使用して企業リソースにアクセスする ID ベースの攻撃から保護するように特別に設計されています。 これにより、企業は、最新の企業環境で ID ベースのゼロ トラスト アーキテクチャを完全に適用できます。
Unified Identity Protection は、エンタープライズ ネットワークとクラウド環境全体のセキュリティ制御を統合して、ID ベースの攻撃を軽減します。 エージェントレスおよびプロキシレス テクノロジーを使用する統合 ID 保護ソリューションは、既存の IAM ソリューション (AD、ADFS、RADIUS、Azure AD、Okta、Ping Identity、AWS IAM など) とシームレスに統合して拡張します。自社製およびレガシー アプリケーション、IT インフラストラクチャ、ファイル システム、コマンドライン ツール、マシン ツー マシン アクセスなど、以前は保護できなかったものです。 このソリューションは、クラウド環境とオンプレミス環境の両方ですべてのユーザーとサービス アカウントのアクセスを継続的に監視し、AI ベースのエンジンを使用してリアルタイムでリスクを分析し、適応認証とアクセス ポリシーを適用します。
高度な攻撃が殺到する中、企業のセキュリティを確保するには、従来のセキュリティ アプローチだけではもはや十分ではありません。 攻撃者は、気付かれずにすでにネットワーク内にいると考えられます。 ID レイヤーを含む完全なゼロ トラスト アプローチは、貴重なデータと資産を保護するための防御を大幅に強化できます。
詳細は Silverfort.com をご覧ください
シルバーフォートについて Silverfort は、エンタープライズ ネットワークとクラウド環境全体で IAM セキュリティ制御を統合して ID ベースの攻撃を軽減する、初の統合 ID 保護プラットフォームを提供します。 Silverfort は、革新的なエージェントレスおよびプロキシレス テクノロジーを使用して、すべての IAM ソリューションとシームレスに統合し、リスク分析とセキュリティ制御を統合し、自社開発およびレガシー アプリケーション、IT インフラストラクチャ、ファイル システム、コマンド ラインなど、以前は保護できなかった資産に対象範囲を拡大しました。ツール、マシン間アクセスなど。