ゼロトラストネットワーク

ゼロトラストネットワーク

- すべての通信を「信頼できなもの」とする考え方。

- 実現方法は、アプリケーションやサービスを利用するには「通行手形」を必要とする。クラウドに置いた「関所」が通行手形に応じて、アクセスを認めたり拒否したりする。言い換えると、アクセス管理。

 - 基本は、「デバイスがリソースにアクセスする際にその可否を判定する」であり、基本構造は、①情報収集(デバイスの状態や利用者など)、②アクセスレベルの決定(収集した情報と企業ネットワークのセキュリティポリシーを組み合わせて、アクセスできるレベルを決定する事。)、③アクセス制御(決定したレベルに基づくアクセス制御を実施する事)。

- 従来は、境界で防御する

  境界防御・・・ファイアウォールで不正なアクセスを防いでいた。

  境界防御の限界・・・ファイアウォールを突破されると無防備。

 

NIST(National Institute of Standards and Technology;米国標準技術研究所)が定義するゼロトラストネットワークの7原則

f:id:lullylapislazuli:20201005202131p:plain

NISTの文書では、導入する際のアプローチとして3つの方式を紹介している。導入は、段階的が望ましく、多要素認証による①を導入して、その次に②や③による保護を考えるのが良い。

①IDガバナンスの拡張

・・・例えば、ID認識型プロキシー(IAP:Identity Aware Proxy)を使ってIDに応じてアクセスの可否を決める。

②マイクロセグメンテーション

・・・個々のサービスごとにNGFW(Next Generation FireWall:次世代ファイアウオール)またはゲートウエイ機器を置き、それぞれにポリシーを適用して個々のサービスを保護する。ある意味で本道に近いアプローチだが、実現するのはかなり難しい。ファイアウオールとして利用するUTMやNGFWを複数台配置するだけでもコストがかかりすぎるためだ。またグーグルはBeyondCorpにおいてこのアプローチを検討したが、性能面に不安があるとして採用しなかった。

③ソフトウエア定義による境界(SDP:Software Defined Perimeter)

・・・ネットワーク層でアクセス制御を実施する。具体的には、デバイスがコントローラーにリクエスト送り、コントローラーはデバイスとサービスに通信用のトンネルを確立するよう指示する。それに従ってデバイスとサービスはトンネルを形成して、両者と外部の境界を動的に作り出す。 

 

グーグルのBeyondCorpにおける処理の流れ

アクセス制御の中核となるのが、アクセスプロキシー

f:id:lullylapislazuli:20201005203842p:plain

 

グーグルのBeyondCorpのソフトウェア構成と制御データの流れ

f:id:lullylapislazuli:20201005204517p:plain

 

auカブコム証券の構成

Azure Active Directoryを中核に、IDを利用した認証を実施。IDに基づくアクセス制御をMDM/MAMツールの「Intune」や「Windows Defenderアプリケーションガード」を通じて実施する。一部対応できないアプリは、アカマイのEAAを併用して対応している。

f:id:lullylapislazuli:20201005205049p:plain

 

Windows Defenderアプリケーションガードの仕組み

アプリケーションガードを組み込むとホストOSはハイパーバイザーで動く仮想マシンで動作するようになる。そこでホワイトリストにないサイトにアクセスすると、別途仮想マシンを作成し、そこで動くEdgeブラウザーからアクセスする。これにより不正なサイトにアクセスした際に、攻撃の影響が仮想マシン内に限定され、重要な情報が漏洩する危険を下げる。

f:id:lullylapislazuli:20201005205153p:plain

 

アクセス管理

- 適切な権限を持つ者だけが必要なタイミングでアクセスする事を可能にするためのプロセス。

 

SSO(シングルサインオン

1度システム利用開始の認証を行うと、複数のシステムを利用開始する際に、都度認証を行う必要がないこと。

Kerberos認証(ケルベロス認証)

最初のサインオン時には、ユーザーのID・パスワード情報の入力を行うと、チケットを取得します。その後、他のシステム・サービスを認証する場合にこのチケットを利用して認証を行うのがケルベロス認証の特徴です。
ID・パスワード自体をやり取りするのでなく、有効期限が設定されたチケットを暗号化された通信上でやりとりをすることで高い安全性が確保されています

Windows統合認証
Windows 2000以後のWindows OSに導入された認証で、Kerberos認証やマイクロソフト独自の認証方式を組み合わせたものの総称となります。Windows統合認証は、Windows Serverのウェブサービス機能である IIS (Internet Information Services)、ディレクトリ機能であるActive Directoryの認証などとして提供されています。

 

Reference

ゼロトラストネットワーク入門 | 日経クロステック(xTECH)

シングルサインオン (SSO) とは何か – サポート − トラスト・ログイン byGMO【旧SKUID(スクイド)】

MITRE ATT&CK その1 ~概要~ | NTTデータ先端技術株式会社

自社のゼロトラストモデル | 株式会社クラウドネイティブ