ゼロ トラスト アーキテクチャでは、ネットワークは信頼された境界として扱われなくなりました。 代わりに、すべての接続を明示的に検証し、承認し、継続的に監視する必要があるトランスポート層になります。 ネットワークの柱は、ID とコンテキストに対応した制御を適用し、接続をセグメント化し、攻撃者が横方向に移動する能力を最小限に抑えることで、アプリケーションとリソースへのアクセスをセキュリティで保護することに重点を置いています。
ネットワークの柱のガイダンスでは、アクセス制御を境界から離れ、アプリケーションとリソースに近づけるために重点を置いています。 ID とデバイスの信号を使用してすべての接続を検証し、セグメント化によって最小特権アクセスを強制し、露出を制限し、横移動を制限することで侵害を想定することを強調しています。
ワークショップの実装
ネットワーク ワークショップでは、表にまとめられた実装領域について説明します。
| Area | 詳細情報 |
|---|---|
| アプリケーション向けにゼロ トラスト ネットワーク アクセス (ZTNA) を実装する | 企業ネットワークの暗黙的な信頼を、ID とコンテキストベースのアクセスの決定に置き換えます。 ID 対応のアクセス制御を使用してユーザーをアプリケーションに直接接続し、ID、デバイスの体制、リスク信号、場所に基づいてセッションを継続的に評価します。 |
| 内部アプリケーションへのセキュリティで保護されたプライベート アクセスを有効にする | パブリック インターネットに公開することなく、内部アプリケーションとプライベート アプリケーションへのアクセスを提供します。 アプリケーション プロキシと ID 対応ゲートウェイを使用して、広範なネットワーク レベルのアクセスを排除し、攻撃対象領域を減らします。 |
| 送信インターネット アクセスをセキュリティで保護する | セキュリティで保護された Web ゲートウェイ (SWG) または同様のクラウド配信コントロールを使用して、送信トラフィックの検査、フィルター処理、制御を行います。 ユーザー ID、デバイスの状態、およびリスクに基づいてポリシーを適用して、悪意のある宛先または不適切な宛先へのアクセスを防ぎます。 |
| インターネットに接続するアプリケーションとエンドポイントを保護する | 帯域幅消費型攻撃、プロトコル攻撃、アプリケーション層攻撃に対して階層型保護を適用することで、一般向けのアプリケーションとサービスの公開を減らします。 トラフィックのフィルター処理、要求の検査、レート制御、自動化された軽減策を使用して、回復性と可用性を向上させます。 |
| セグメント ネットワークとアプリケーション アクセス | ユーザー、デバイス、アプリケーション間の接続を制限するために、オンプレミス環境とクラウド環境全体でセグメント化とマイクロセグメント化を実装します。 明示的に承認されたリソースにのみアクセスを許可することで、横移動を制限します。 |
| すべてのネットワーク トラフィックを暗号化して保護する | すべてのトラフィック (内部、外部、および東西) が転送中に暗号化されていることを確認します。 セキュリティで保護されたプロトコルと ID 対応ゲートウェイを使用して、通信の機密性と整合性を維持します。 |
| ポリシー適用をアプリケーションとデータに近づける | 従来の境界コントロールからアプリケーション レベルおよび ID 対応コントロールに適用を移行します。 リバース プロキシ、アプリケーション ゲートウェイ、およびセッション ベースの制御を使用して、アクセスポイントでポリシーを適用します。 |
| ネットワークの可視性と継続的な監視を向上させる | ネットワーク トラフィック、アプリケーション アクセス パターン、およびユーザー アクティビティを可視化します。 セッションを継続的に監視し、ネットワーク制御、ゲートウェイ、セグメント化の境界からログを分析して異常を検出し、調査をサポートします。 |
| ネットワーク信号をセキュリティ操作に統合する (SecOps) | ネットワーク テレメトリ、アクセス イベント、トラフィック分析を一元的な監視および応答システムにフィードします。 ネットワーク アクティビティを ID、デバイス、データ、インフラストラクチャのシグナルと関連付けて、脅威を検出し、インシデントを調査し、疑わしい動作に対応します。 |
ネットワーク体制を評価する
ゼロ トラスト評価ツールは、さまざまなセキュリティのベスト プラクティスに対してネットワーク構成を評価できます。 詳細については、こちらを参照してください。
次のステップ
評価を実行し、 ネットワーク ワークショップを開始します。