この記事は、Security の Product Marketing Manager である Christina Hausman によるブログ「Zero Trust, Microsegmentation, Whitelisting, Oh My…」(2020/4/30)の抄訳です。
ゼロトラストは、すべてのネットワーク、アプリケーション、そして環境全体にわたってアクセスを包括的に保護するアプローチです。アプリケーションは現代ビジネスの根幹とも言えるほど、生産性の向上や収益拡大の鍵を握っています。そのためアプリケーションスタックやワークロードを包括的に保護することがきわめて重要です。組織が展開するワークロードの増大は留まるところを知りません。しかも、多様なコンポーネントから成る複雑なマルチクラウド環境を通じてそれらのワークロードが実行される場所も増え続けています。しかも各種の脅威が悪質化・巧妙化の一途をたどっているため、従来のセキュリティアプローチで環境全体を保護することはもはや困難です。そのため、「Trust nothing, verify everything」というゼロトラストアプローチ
API、マイクロサービス、コンテナなどがアプリケーション内のデータベースにアクセスする今日の環境では、そうしたアクセスを保護する必要に迫られています。しかも、クラウド、データセンター、仮想環境など、ありとあらゆる場所を考慮する必要があります。そのためには、アクセスをセグメント化する方法を十分に検討し、挙動の怪しいプロセスを特定して侵害を封じ込め、攻撃者のラテラルムーブメント(水平移動)を防ぐ必要があります。
では、どのような方法が有効なのでしょうか。その答えはゼロトラストアプローチです。このアプローチは、「the devil is in the details(悪魔は細部に宿る)」という理念に基づいています。ゼロトラスト理念の一般的な実践手法は、マイクロセグメンテーションとホワイトリスティングです。
マイクロセグメンテーション
ゼロトラストアプローチを導入するにあたって、既存のインフラストラクチャをすべて入れ替える必要はありません。このソリューションの優れた点は、これまでの投資を無駄にすることなく、既存のインフラストラクチャを活かしてハイブリッドな環境を構築できるという点です。
次に必要なのは、ワークロードの挙動と攻撃対象領域を可視化し、ワークロードのリスクを特定して対処することです。そのためには、クラウド環境やハイブリッド環境全体に共通のポリシーを適用しながら、アプリケーションのマイクロセグメンテーションを実施する必要があります。
シスコは、この目的に役立つさまざまなソリューションを提供しています。Cisco Tetration の各種ツールは、お客様の新しいビジネスモデルへの移行をサポートします。
包括的な可視性:Tetration を使えば、ゼロトラストの原則どおりに、セキュリティチームやインシデント対応チームがネットワーク内の動きを逐一把握できるようになります。また、ポリシーをどう変更すべきかについてのインテリジェンスやインサイトが出力されます。大量の情報が吐き出されるだけで具体的な対策につながりにくく「分析麻痺(analysis paralysis)」に陥っていた従来モデルとは大きく異なります。
ゼロトラストの理念を導入すると、今までとはまったく異なるアプローチでワークロードのセキュリティ課題に対処できます。ゼロトラストアプローチによって実現する優れた可視性、自動化、アプリケーション通信の詳細把握により、境界セキュリティの限界を乗り越えることが可能になります。不正アクセスから、ネットワーク内の感染拡大、データ漏洩に至るまで、悪意のあるアクティビティが完全に可視化され、防止できるようになります。
Cisco Tetration とシスコ ゼロ トラスト ソリューションの詳細については、下記リンクを参照してください。