ゼロ トラストを使用したネットワークの保護

  • 5 分

ゼロ トラスト ネットワーク戦略には、ネットワーク セキュリティへのアプローチのシフトが必要です。 簡単に実装できる小さなステップは、大きな影響を与える可能性があります。 ネットワークのゼロ トラスト戦略を検討する場合は、次の 3 つの重要な領域に焦点を当てます。

  • ネットワークのセグメント化
  • 脅威に対する保護
  • ネットワークの暗号化

ネットワークのセグメント化

ネットワークセグメント化は、ネットワークを小さな個別のゾーンに分割し、各セグメントにアクセスできるユーザーを制限するプロセスです。 これにより、侵害の影響を軽減し、サイバー犯罪に与える損害の量を制限し、ネットワーク全体を横方向に簡単に移動できないようにすることができます。

これが自宅にどのように当てはまるかを見てみましょう。 家は、リビング、キッチン、ダイニング、トイレ、寝室などといった幾つかの部屋で構成されています。 従来のセキュリティ モデルでは、誰かが玄関を入った後は、必要に応じて各部屋にもアクセスできました。

次の図は、フラット ネットワークの簡略化されたレンダリングを示しています。 攻撃者がネットワークに接続すると、任意の場所に移動できます。

3 台のサーバーを保護する 1 つのファイアウォールを備えた簡略化されたフラット ネットワーク構造を示す図。

一方、セグメント化を使用すると、各部屋のドアが常にロックされ、ロック解除には一意のキーが必要であることを確認できます。 誰かが家に入る場合、訪問できる場所は非常に限られており、より多くの労力とアクセス時間が必要です。

次の図は、セグメント化されたネットワークの簡略化されたレンダリングを示しています。 サイバー犯罪は、データにアクセスするために各セグメントを順番に攻撃する必要があります。

簡略化されたフラット ネットワークがセグメント化されたネットワークに変換され、それぞれに 3 つのセグメントとサーバーが存在することを示す図。

ネットワークセグメント化は、財務チームを自分のオフィスに配置するのとほぼ同じ方法で、重要な運用や資産に関する境界を作成します。 これにより、ネットワークが侵害された場合でも、攻撃者がセグメント化された領域に到達できないことを確認することで、ネットワーク資産の整合性が向上します。

攻撃が発生した場合、この戦略は、サイバー犯罪者がネットワーク上の移動 (横方向の移動と呼ばれる) を防ぐのに役立ちます。各セグメントはゼロ トラスト戦略と統合されており、認証と承認がないとアクセスが許可されないためです。

リアルタイムの脅威保護

サイバー攻撃がより高度になるにつれて、脅威インテリジェンスを使用して警告と脅威インジケーターを関連付け、それによって攻撃への対応に優先順位を付ける必要があります。 これを実現するには、ネットワーク上およびネットワーク上で発生するすべてのアクティビティをリアルタイムで監視する高度なソフトウェア ツールを展開する必要があります。 これらのツールは、ネットワーク内の複数のソースからの最新のデータに依存して、トラフィックが良好か悪いかを識別します。

堅牢な脅威保護ソリューションでは、悪意のあるペイロード、および異常なデバイスとユーザーの動作を探しているすべてのトラフィックをスキャンする必要があります。

拡張検出および応答 (XDR) ツールを使用することは、資産の保護、脅威の修復、調査のサポートに必要なエンドツーエンドの可視性と自動化された対応を提供する上で極めて重要です。 一般的な XDR ソリューションでは、脅威インテリジェンスを使用して、各アクティビティを既知または不明なマルウェア、または有効な操作として分類します。 また、XDR はユーザーの地理的な場所、通常アクセスするアプリケーション、脅威を正確に特定するために使用しているデバイスを把握するために、ユーザー サインイン イベントなどのユーザー アクティビティを監視します。

通常、脅威は既知の攻撃と不明な攻撃の 2 つの大きなカテゴリに分類されます。

  • 既知の攻撃は、以前に他のソースによって検出された攻撃です。 多くの場合、攻撃には一意のインジケーターがあり、それを識別できます。 脅威検出ツールを最新の状態に保つことで、これらの攻撃を発見し、損害を与える前に軽減します。
  • 不明な攻撃は、新しい脅威と攻撃であり、既知のインジケーターと一致しません。 これらはゼロデイ攻撃と呼ばれます。 これらの攻撃を特定する脅威保護システムの機能は、通常のトラフィックと動作とそうでないものを把握できるかどうかによって異なります。

これらのツールを使用すると、セキュリティ チームは、内部と外部の両方で最も重要な攻撃やリスクを検出、阻止、および阻止するために必要な情報を提供できます。

暗号化を使用してアクセスを制限する

データは、大切な人の写真、オンライン ショッピングのカート内の内容、顧客の財務記録など、私たちが行うすべての中心にあります。 ネットワークは、このデータにアクセスできる手段を提供しますが、サイバー犯罪者による悪用の危険にもさらされています。

データを安全に保つ最善の方法の 1 つは、暗号化されていることを確認することです。 暗号化とは、メッセージをデコードするための適切なキーを持たないユーザーに対して、メッセージを認識不能にレンダリングするプロセスです。

データの暗号化は、オンプレミス、クラウド、外部ドライブなどのデバイスに保存されたデータ (保存データと呼ばれる) だけでなく、ネットワーク経由で送信されるデータ (転送中のデータと呼ばれる) にも適用されます。

ネットワークにゼロ トラスト戦略を適用する際の重要な目標の 1 つは、データにアクセスするすべてのアプリで暗号化されるようにすることです。 また、オンプレミス ネットワークからクラウドまたはインターネットに移動するすべてのデータを暗号化することも検討する必要があります。 市場には、ユーザーのデバイスおよび使用しているアプリとデータソース間のすべての通信をシームレスに暗号化できる多くのツールがあります。 独自のアプリケーションを開発する場合は、転送中のすべてのデータの暗号化が不可欠です。