セキュリティの変革
エピソード1:Zero Trustへのロードマップ
主な抜粋:
Barry Fisher:[00:00:52]
Zero Trustセキュリティを達成するには、企業ネットワークを出入りしたり内部で行き来するリクエストをすべて検査、認証、暗号化し、ログに記録しなければなりません。これは、「送信元や送信先を問わず、いかなるリクエストも暗黙に信頼してはならない」という考え方に基づいています。アクセスは、各リクエストのIDとコンテキストを検証した後にのみ許可されます...
ステップ1:暗黙の信頼を排除する
Barry Fisher:[00:04:54]
最も古典的な最初のステップは、アクセスを許可する前に、インバウンドリクエストへの強力な認証でユーザーIDを検証することによって、暗黙の信頼を排除することです...これには、ユーザーが使用しようとしているあらゆる種類のアプリケーションにまたがるポリシーを適用できる、単一のプラットフォームがあります...
Barry Fisher:[00:06:01]
まず、重要なアプリケーションで多要素認証を実施します。これにより、仮想的な攻撃者が最も機密性の高いデータにアクセスするのを防ぐことができます...すでにIDプロバイダーを導入している組織は、そのプロバイダー内にMFAを直接設定できます。MFAは、ワンタイムコードまたはプッシュ通知アプリのいずれかを介して行うことができます。
Barry Fisher:[00:07:14]
...MFA手法はフィッシングへの耐性が高ければ高いほど、良いものです。企業は基本的なMFAから始め、段階的に改善していくことを推奨します。また、アプリケーションのリバースプロキシサービスでは、アプリケーションがすでにインターネットに公開されている場合、アプリケーションのDNSとレコードを変更する権限を持つ必要があります。非公開のプライベートなアプリケーションの場合、ステップ2に進みましょう。
ステップ2:Zero Trustを拡張する
Barry Fisher:[00:08:37]
境界ファイアウォールに穴を開けるのではなく、このプライベートアプリケーションと、それにアクセスする必要のあるユーザーとの間に、インターネット上で非常に狭い範囲のプライベートネットワークを確立します...MFAで本人確認を行った上で、ユーザーとアプリケーションの間に位置するリバースプロキシを通じて、きめ細かく、最小権限でポリシーを実施します。
ステップ3:アプリケーションが攻撃の標的となることを考える
Barry Fisher:[00:13:10]
ネットワークエンジニアリングチームを関与させ、サイバーリスクを減らすことから始めましょう...インバウンドネットワークのポートであり続けるべきかどうかは、それが一般的な攻撃ベクトルであることを考慮した上で考えるべきです。パンデミック時には、多くの組織が従業員の生産性を維持するための方法を急いで模索していました。また、RDPやSSHプロトコルとして知られているものに対して、特権的なシステムアクセスを与えることがあります。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
Zero Trustアーキテクチャに向けた有意義な進展のために企業が実践できる3つの具体的なステップ
ステップ1:暗黙の信頼を排除する[00:04:54]
STEP 2:Zero Trustをプライベートアプリケーションに拡張する[00:08:37]
ステップ3:インターネットに公開されているアプリケーションを検討する [00:13:10]