この記事は、Security の Product Marketing Manager である Paul Burdette によるブログ「Three ways ISE 3.0 enables visibility-driven network segmentation to gain zero trust」(2021/4/8)の抄訳です。
ISE 3.0:アクセス制御により、信頼ゾーン内に脅威を封じ込める
目が覚めたら、また新しいセキュリティインシデントが発生していたとします。攻撃者がセキュリティ境界をどうやって通り抜けられたのかわからず、混乱することでしょう。しかしその後、クラウド、モビリティ、IoT によってセキュリティ境界が分断され、一時期、境界が失われていたことが判明します。ネットワークリソースが分散するということは、境界も分散するということです。どこにいても、また、どのようなデバイスを使用しても働けるようになった今、リモートアクセスが急増しています。この結果、職場へのアクセス制御は煩雑になり、もはや手に負えなくなりつつあります。
ゼロトラストは、分散ネットワークが引き起こしているパラダイムシフトに対処するセキュリティ概念です。あらゆる場所、あらゆるデバイスから人々がリソースにアクセスするようになった状況では、信頼できるユーザだけが信頼
できるネットワークリソースにアクセスできるようにする方法が必要です。
また、コンプライアンスを維持し、ホームオフィスやランダムなホットスポットなどの共有環境から脅威が持ち込まれないようにする必要もあります。
ゼロトラストの中核にある考え方は、継続的にエンドポイントを認証し、アクセスを許可することです。シスコは、信頼できるという前提を捨て、デバイスがどこで使用されていても必ず検証を行います。信頼を確立し、エンドポイントが組織のコンプライアンスの範囲内にあると判断したら、ビジネス目標の達成に必要なものに限ってネットワークリソースへのアクセスをセグメント化します。いわゆる「最小権限」に応じたアクセスです。信頼できるアクセスゾーンにネットワークをセグメント化することは、確実にポリシーを遵守してリスクを軽減する方法として前々から認識されていました。しかしあくまでも認識されているだけであって、実際はというと、セグメント化も保護も部分的に行われているにすぎません。
ネットワーク セグメンテーションの主な障害となってきたのは、デバイスのアイデンティティやデバイス間の相互作用に対する可視性がないことに加え、重要なビジネス目標の達成を阻むことになる接続性の問題がポリシーによって引き起こされないようにするという点でも可視性が欠如していることでした。シスコが最近リリースした Cisco Identity Services Engine(ISE)3.0 は、動的な可視性を獲得することと、職場内でのネットワーク セグメンテーションを容易にすることに重点を置いています。
ISE 3.0 により、可視性を重視したネットワーク セグメンテーションを実現する 3 つの方法
- 期待と現実。最小権限とネットワーク セグメンテーションに基づいたアクセスについては、エンドポイントのグループをきちんと特定してプロファイリングすれば、そうしたグループ間のアクセスは簡単に制御できるだろうと考えがちです。しかし、多くの場合期待どおりにはいきません。ISE 3.0 では機械学習を活用し、Cisco DNA Center の AI エンドポイント分析によってエンドポイントの可視性のギャップを埋めます。これでようやく期待と現実が合致し、職場内でゼロトラストアクセスが実現します。Adventist Health 社の事例をご覧ください。同社は全エンドポイントの 70% を即座に特定し、現在、完全な可視性と制御を獲得するために取り組みを進めています。
- 可視性とコンプライアンスの両立。可視性は、アクセスを最小権限に基づいて制御しセグメント化するための第一歩です。しかし、組織のコンプライアンスに基づいてアクセスを制御するわけなので、選択肢がほしいところです。ISE 3.0 では、リモートアクセスの要求に応答するエンドポイントのオンボーディングを高速化するためにエージェントを使用するかどうかを選択できるようになりました。また、IoT デバイスの可視性を得ることもできます。自社に合った方法で完全な可視性を獲得し、可視性を重視したセグメンテーションを実現することが可能になっています。
- ガイド付きワークフロー。ネットワーク セグメンテーションなどの高度なユースケースを段階的な「ウォークスルー」形式で導入し、変化するビジネスニーズに適応するために必要な知識を IT チームに提供します。ISE 3.0 を使用することで「複雑さの障壁」が解消され、ネットワーク セグメンテーションの導入が容易になります。お客様は、ゼロトラスト環境の実現に向けて大きな一歩を踏み出すことができます。
手が届くところまで来たネットワーク セグメンテーション
ISE 3.0 が大きな飛躍を遂げたことで、ネットワーク セグメンテーションの導入がシンプルかつ容易になりました。同時に、このような高いレベルの保護によってアクセスが遮断され、ビジネス目標が阻害されることのないよう、必要な可視性を獲得することもできます。シスコは、アクセスの制御、攻撃対象領域の縮小、ポリシーの継続的な適用、マルウェアの封じ込めをさらに容易にするために取り組んでいます。シスコの担当者にご連絡いただければ、Cisco Identity Services Engine 3.0 のツアーにご参加いただけます。また、以下のリンクで詳細情報をご紹介しています。
ISE によってネットワーク セグメンテーション イニシアチブを実現する方法については、シスコの Web ページをご覧ください。また、ネットワーク セグメンテーションをシンプルにして導入する方法が詳述されている ESG のホワイトペーパー「Removing Complexities Around Network Segmentation」もご一読ください。