Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Infrastudy6

hiromaaa03
September 25, 2020

 Infrastudy6

hiromaaa03

September 25, 2020
Tweet

More Decks by hiromaaa03

Other Decks in Technology

Transcript

  1. ゼロトラストを知る 書籍 • ゼロトラスト超入門 • ゼロトラストネットワーク 動画 • FgCF :

    ゼロトラスト型マルチクラウドIT環境 入門編 https://www.youtube.com/watch?v=V9t3t36b4Mc&fbclid=IwAR3comb5BHaJEaqPeNBNgR1HciJ-2DDftUJpGmu3GSrcga- u3sZ1Jc_JKPE • ゼロトラストを社内インフラに実装する https://www.youtube.com/watch?v=ssuOmanpYDo 資料 https://blog.animereview.jp/zerotrust_may_be_a_fiction/ https://speakerdeck.com/ken5scal/yuzaqi-ye-niokeruqing-bao-sisutemutosekiyuritei-number-seccamp2019?slide=162 https://speakerdeck.com/ken5scal/zero-trustshang-karajian-ruka-xia-karajian-ruka
  2. ゼロトラストを知る 5つの基本的な原則 • ネットワークは常に安全ではないと見なされる。 • ネットワーク上には外部および内部の脅威が常に存在する。 • ネットワークを信用できると判断するには、 ローカルネットワークでは不十分である。 •

    デバイス、ユーザ、ネットワークフローはひとつ残らず 認証および認可される。 • ポリシーは動的であり、できるだけ多くの情報源に基づいて 作成されなければならない。
  3. ゼロトラストを知る 5つの基本的な原則 • ネットワークは常に安全ではないと見なされる。 • ネットワーク上には外部および内部の脅威が常に存在する。 • ネットワークを信用できると判断するには、 ローカルネットワークでは不十分である。 •

    デバイス、ユーザ、ネットワークフローはひとつ残らず 認証および認可される。 • ポリシーは動的であり、できるだけ多くの情報源に基づいて 作成されなければならない。 アクションが必要
  4. ゼロトラストを知る ゼロトラスト実現に向けた機能って? • デバイス、ユーザ、ネットワークフローはひとつ残らず認証および認可される。 ◦ デバイスへの認証(証明書等) ◦ デバイスの安全性強化(EDR/NGAV)および導入に対する認証 ◦ システムをまたがる横断的なID管理(IDaaS)ツールの導入によるユーザ認証

    ◦ トラフィックの集中(SWG/CASB) ◦ 通信の暗号化および通信の復号化(SWG/CASB)して通信を確認したうえでの認証 ◦ 認可の委任先の一元化(SWG/CASB) • ポリシーは動的であり、できるだけ多くの情報源に基づいて作成されなければならない。 ※動的ポリシーむずかしい。ネットワークエージェント... ◦ 認証情報の保管(IDaaS) ◦ 通信ログの保管(SWG/CASB) ◦ 振る舞い検知(IDaaS/SWG/CASB) ◦ ポリシーの柔軟性(SWG/CASB) ※手動設定でも細かい権限設定
  5. 実践 • 検証フェーズ ◦ 機能検証 ◦ 製品間連携 • 認証フェーズ ◦

    ID統制 ◦ エンドポイントセキュリティ導入 • 可視化・分析フェーズ ◦ トラフィックログの確認 ◦ 分析⇒シャドーIT等リスクのある使用を検出 ※ユーザへのヒアリングなども実施 • ポリシーフェーズ ◦ ポリシー設計 ※部署レベルでの権限設計やマイクロセグメンテーション。最小権限の原則を忘れない。 ◦ ポリシー適用