この記事は、Security の Product Marketing Manager である Paul Burdette によるブログ「Three ways ISE 3.0 enables visibility-driven network segmentation to gain zero trust 」(2021/4/8)の抄訳です。
目が覚めたら、また新しいセキュリティインシデントが発生していたとします。攻撃者がセキュリティ境界をどうやって通り抜けられたのかわからず、混乱することでしょう。しかしその後、クラウド、モビリティ、IoT によってセキュリティ境界が分断され、一時期、境界が失われていたことが判明します。ネットワークリソースが分散するということは、境界も分散するということです。どこにいても、また、どのようなデバイスを使用しても働けるようになった今、リモートアクセスが急増しています。この結果、職場へのアクセス制御は煩雑になり、もはや手に負えなくなりつつあります。
ゼロトラストは、分散ネットワークが引き起こしているパラダイムシフトに対処するセキュリティ概念です。あらゆる場所、あらゆるデバイスから人々がリソースにアクセスするようになった状況では、信頼できるユーザだけが信頼
できるネットワークリソースにアクセスできるようにする方法が必要です。
また、コンプライアンスを維持し、ホームオフィスやランダムなホットスポットなどの共有環境から脅威が持ち込まれないようにする必要もあります。
ゼロトラストの中核にある考え方は、継続的にエンドポイントを認証し、アクセスを許可することです。シスコは、信頼できるという前提を捨て、デバイスがどこで使用されていても必ず検証を行います。信頼を確立し、エンドポイントが組織のコンプライアンスの範囲内にあると判断したら、ビジネス目標の達成に必要なものに限ってネットワークリソースへのアクセスをセグメント化します。いわゆる「最小権限」に応じたアクセスです。信頼できるアクセスゾーンにネットワークをセグメント化することは、確実にポリシーを遵守してリスクを軽減する方法として前々から認識されていました。しかしあくまでも認識されているだけであって、実際はというと、セグメント化も保護も部分的に行われているにすぎません。
ネットワーク セグメンテーションの主な障害となってきたのは、デバイスのアイデンティティやデバイス間の相互作用に対する可視性がないことに加え、重要なビジネス目標の達成を阻むことになる接続性の問題がポリシーによって引き起こされないようにするという点でも可視性が欠如していることでした。シスコが最近リリースした Cisco Identity Services Engine(ISE)3.0 は、動的な可視性
ISE 3.0 が大きな飛躍を遂げたことで、ネットワーク セグメンテーションの導入がシンプルかつ容易になりました。同時に、このような高いレベルの保護によってアクセスが遮断され、ビジネス目標が阻害されることのないよう、必要な可視性を獲得することもできます。シスコは、アクセスの制御、攻撃対象領域の縮小、ポリシーの継続的な適用、マルウェアの封じ込めをさらに容易にするために取り組んでいます。シスコの担当者にご連絡いただければ、Cisco Identity Services Engine 3.0 のツアーにご参加いただけます。また、以下のリンクで詳細情報をご紹介しています。
ISE によってネットワーク セグメンテーション イニシアチブを実現する方法については、シスコの Web ページをご覧ください。また、ネットワーク セグメンテーションをシンプルにして導入する方法が詳述されている ESG のホワイトペーパー「Removing Complexities Around Network Segmentation」もご一読ください。