Upgrade to Pro — share decks privately, control downloads, hide ads and more …

BeyondCorp? ゼロトラスト? VPNを超えていけ!

koduki
March 01, 2020
Technology
1
500

BeyondCorp? ゼロトラスト? VPNを超えていけ!

ニコニコ生放送で話したZero Trust Networkの資料。
https://www.youtube.com/watch?v=DN9J94D2jYM&feature=youtu.be

VPNの機能や問題点、そしてゼロトラストではそれをどう解決するかを話します。

- BeyondCorpはゼロトラストの実装の一つ。ゼロトラストは超乱暴に言えばポストVPN
- 社内も信用出来ないとして社外と同じ方式でNWを組む
- HTTPSによる暗号化と次世代認証基盤を使ったCAACによるアクセスコントロール
- FWによる境界からIDによる境界へのパラダイムシフト

koduki

March 01, 2020
Tweet

More Decks by koduki

See All by koduki
テックポエム そろそろ5Gについて語っておくか
koduki
1
150
テックポエマーのWeekly IT News! - 2020/09/27
koduki
0
74
テックポエマーのWeekly IT News! - 2020/09/20
koduki
0
22
テックポエマーのWeekly News! - 2020/09/13 - シリコンバレーの地殻変動
koduki
0
64
Google Cloud Next'20 総括!
koduki
0
54
テックポエマーのGoogle Cloud Next ‘20 Week 9 振り返り
koduki
0
57
テックポエマーのWeekly News! - 2020/09/06 - With コロナ
koduki
0
45
テックポエマーのGoogle Cloud Next ‘20 Week 8 振り返り
koduki
0
55
Google Cloud Next '20 Weekly 7の振り返り
koduki
0
76

Other Decks in Technology

See All in Technology
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
240
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.4k
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
250
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
730
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
2
480
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
3
6.4k
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
1.3k
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
210
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
140
KubeCon EU 2024 Recap “Kubernetes Policy Time Machine: Where to Next?”
ryysud
0
220
生産性向上チームの紹介
cybozuinsideout
PRO
1
870
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
190

Featured

See All Featured
How to Ace a Technical Interview
jacobian
272
22k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
17
1.4k
Code Reviewing Like a Champion
maltzj
514
39k
Optimising Largest Contentful Paint
csswizardry
8
2.4k
Fantastic passwords and where to find them - at NoRuKo
philnash
37
2.5k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
244
20k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k
Fireside Chat
paigeccino
21
2.6k
Gamification - CAS2011
davidbonilla
76
4.6k
Clear Off the Table
cherdarchuk
84
310k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
155
14k
No one is an island. Learnings from fostering a developers community.
thoeni
16
2.1k

Transcript

  1. BeyondCorp? ゼロトラスト? VPNを超えていけ! テックポエム

  2. TL;DR  BeyondCorpはゼロトラストの実装の一つ  ゼロトラストは超乱暴に言えばポストVPN  社内も信用出来ないとして社外と同じ方式でNWを組む  HTTPSによる暗号化と次世代認証基盤を使ったCAACによるACL 

    FWによる境界からIDによる境界へ

  3. BeyondCorp? ゼロトラスト? /** * @author Google */ class ByondCorp implements

    ZeroTrust { }

  4. Zero Trust Security  Zero Trust Networkとも呼ぶ。微妙に言葉の範囲は違う気 がする  基本コンセプト

    「ゼロトラストネットワークでは「社内は安全である」という前提の 下で境界を守るセキュリティ対策ではなく、「全て信頼できない(ゼ ロトラスト)ことを前提として、全てのデバイスのトラフィックの検 査やログの取得を行う」 引用: https://cybersecurity-jp.com/security-measures/33227  信頼できないネットワークを利用する前提でシステムを組 むので社内も社外も同じ仕組みでセキュリティコントロー ルを提供する

  5. トラディショナルな企業ネットワーク 専用線 VPN 大事な データ 業務 システム 業務 システム 業務

    システム 信頼できるNW

  6. すべては信頼できない – Zero Trust 私 は 社 内 か ら

    ア ク セ ス し て る の で 信 頼 で き る 社 員 で す 。

  7. VPNのセキュリティ3要素  Authentication/認証  Device Trust/機器認証  Encryption/暗号化

  8. VPNの問題点  キャパシティ/パフォーマンス  適切な制御の難しさ  一貫したセキュリティポリシーの適用が困難

  9. 一貫したセキュリティポリシーの適用が困難  オンプレのセキュリティ製品をVPN無しで適用できない  内部ACL等社内外で違う技術でアクセス制御  SaaSの取り扱いが難しい 専用線 VPN URLフィルタ

    不正検知 認証サーバ 内部ACL SaaS

  10. ゼロトラストによるリモートセキュリティ  Authentication/認証  Azure ADやCloud Identity等の次世代認証基盤による認証  Device Trust/機器認証

     Azure ADの場合はIntuneなど  Encryption/暗号化  HTTPSしか使わなければ問題ないよね?

  11. ゼロトラストの企業ネットワーク  FWによる境界から次世代認証基盤を活用したIDによる境界へ  社内も社外もDCもSaaSも関係なく一貫したポリシー HTTPS SaaS 大事な データ 業務

    システム 業務 システム 業務 システム 次世代認証基盤

  12. コンテキスト認識アクセスコントロール  次世代認証基盤の中核技術の一つはContext-Aware Access Control (CAAC)  マイクロソフトでは「Conditional Access/条件付きアクセス」と呼びGoogle では「Identity-Aware」とか「Context-Awareness」

     RBACのようなロール管理に加えて、ロケーションや対象システムといった コンテキストを認識させることでより柔軟なACLを実現

  13. コンテキスト認識アクセスコントロール  「誰が」「どこから」「どのデバイスで」「どのアプリに」を判定  リスクを動的に計算することで「リモートアクセスの場合は生体認証を追加」など のコントロールも容易になる 引用: [Japan Tech summit

    2017] SEC 010

  14. ゼロトラストによるVPNの問題点の解決  キャパシティ/パフォーマンス  社内外で同じコントロールなので社外向けのキャパシティプランは不要  L7の暗号化なのでVPNより軽い。また直接SaaS等にアクセス可能  適切な制御の難しさ 

    一貫してロールとコンテキストでアクセス制御が可能  一貫したセキュリティポリシーの適用が困難  社内も社外もDCもSaaS同様の仕組みで運用可能  次世代認証基盤はインターネットにあるのでクラウドEndpointを適用し やすい

  15. 一貫したセキュリティポリシーの適用  次世代認証基盤によりクラウドベースのEndpoint Securityが適用しやすく  アクセスコントロールもエンドポイントも一貫した仕組みで対応 SaaS 業務 システム 次世代認証基盤

    URLフィルタ 不正検知 Endpoint Security

  16. まとめ  BeyondCorpはゼロトラストの実装の一つ  ゼロトラストは超乱暴に言えばポストVPN  社内も信用出来ないとして社外と同じ方式でNWを組む  HTTPSによる暗号化と次世代認証基盤を使ったCAACによるACL 

    FWによる境界からIDによる境界へのパラダイムシフト