Upgrade to Pro — share decks privately, control downloads, hide ads and more …

BeyondCorp? ゼロトラスト? VPNを超えていけ!

koduki
March 01, 2020
Technology
1
540

BeyondCorp? ゼロトラスト? VPNを超えていけ!

ニコニコ生放送で話したZero Trust Networkの資料。
https://www.youtube.com/watch?v=DN9J94D2jYM&feature=youtu.be

VPNの機能や問題点、そしてゼロトラストではそれをどう解決するかを話します。

- BeyondCorpはゼロトラストの実装の一つ。ゼロトラストは超乱暴に言えばポストVPN
- 社内も信用出来ないとして社外と同じ方式でNWを組む
- HTTPSによる暗号化と次世代認証基盤を使ったCAACによるアクセスコントロール
- FWによる境界からIDによる境界へのパラダイムシフト

koduki

March 01, 2020
Tweet

More Decks by koduki

See All by koduki
テックポエム そろそろ5Gについて語っておくか
koduki
1
170
テックポエマーのWeekly IT News! - 2020/09/27
koduki
0
87
テックポエマーのWeekly IT News! - 2020/09/20
koduki
0
26
テックポエマーのWeekly News! - 2020/09/13 - シリコンバレーの地殻変動
koduki
0
87
Google Cloud Next'20 総括!
koduki
0
71
テックポエマーのGoogle Cloud Next ‘20 Week 9 振り返り
koduki
0
76
テックポエマーのWeekly News! - 2020/09/06 - With コロナ
koduki
0
52
テックポエマーのGoogle Cloud Next ‘20 Week 8 振り返り
koduki
0
72
Google Cloud Next '20 Weekly 7の振り返り
koduki
0
88

Other Decks in Technology

See All in Technology
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
530
アジャイルでの品質の進化 Agile in Motion vol.1/20241118 Hiroyuki Sato
shift_evolve
0
180
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
300
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
180
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
490
The Role of Developer Relations in AI Product Success.
giftojabu1
0
140
飲食店データの分析事例とそれを支えるデータ基盤
kimujun
0
190
あなたの知らない Function.prototype.toString() の世界
mizdra
PRO
1
230
AGIについてChatGPTに聞いてみた
blueb
0
130
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
【Startup CTO of the Year 2024 / Audience Award】アセンド取締役CTO 丹羽健
niwatakeru
0
1.3k
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160

Featured

See All Featured
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
110
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
A designer walks into a library…
pauljervisheath
204
24k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Navigating Team Friction
lara
183
14k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Thoughts on Productivity
jonyablonski
67
4.3k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
93
16k

Transcript

  1. BeyondCorp? ゼロトラスト? VPNを超えていけ! テックポエム

  2. TL;DR  BeyondCorpはゼロトラストの実装の一つ  ゼロトラストは超乱暴に言えばポストVPN  社内も信用出来ないとして社外と同じ方式でNWを組む  HTTPSによる暗号化と次世代認証基盤を使ったCAACによるACL 

    FWによる境界からIDによる境界へ

  3. BeyondCorp? ゼロトラスト? /** * @author Google */ class ByondCorp implements

    ZeroTrust { }

  4. Zero Trust Security  Zero Trust Networkとも呼ぶ。微妙に言葉の範囲は違う気 がする  基本コンセプト

    「ゼロトラストネットワークでは「社内は安全である」という前提の 下で境界を守るセキュリティ対策ではなく、「全て信頼できない(ゼ ロトラスト)ことを前提として、全てのデバイスのトラフィックの検 査やログの取得を行う」 引用: https://cybersecurity-jp.com/security-measures/33227  信頼できないネットワークを利用する前提でシステムを組 むので社内も社外も同じ仕組みでセキュリティコントロー ルを提供する

  5. トラディショナルな企業ネットワーク 専用線 VPN 大事な データ 業務 システム 業務 システム 業務

    システム 信頼できるNW

  6. すべては信頼できない – Zero Trust 私 は 社 内 か ら

    ア ク セ ス し て る の で 信 頼 で き る 社 員 で す 。

  7. VPNのセキュリティ3要素  Authentication/認証  Device Trust/機器認証  Encryption/暗号化

  8. VPNの問題点  キャパシティ/パフォーマンス  適切な制御の難しさ  一貫したセキュリティポリシーの適用が困難

  9. 一貫したセキュリティポリシーの適用が困難  オンプレのセキュリティ製品をVPN無しで適用できない  内部ACL等社内外で違う技術でアクセス制御  SaaSの取り扱いが難しい 専用線 VPN URLフィルタ

    不正検知 認証サーバ 内部ACL SaaS

  10. ゼロトラストによるリモートセキュリティ  Authentication/認証  Azure ADやCloud Identity等の次世代認証基盤による認証  Device Trust/機器認証

     Azure ADの場合はIntuneなど  Encryption/暗号化  HTTPSしか使わなければ問題ないよね?

  11. ゼロトラストの企業ネットワーク  FWによる境界から次世代認証基盤を活用したIDによる境界へ  社内も社外もDCもSaaSも関係なく一貫したポリシー HTTPS SaaS 大事な データ 業務

    システム 業務 システム 業務 システム 次世代認証基盤

  12. コンテキスト認識アクセスコントロール  次世代認証基盤の中核技術の一つはContext-Aware Access Control (CAAC)  マイクロソフトでは「Conditional Access/条件付きアクセス」と呼びGoogle では「Identity-Aware」とか「Context-Awareness」

     RBACのようなロール管理に加えて、ロケーションや対象システムといった コンテキストを認識させることでより柔軟なACLを実現

  13. コンテキスト認識アクセスコントロール  「誰が」「どこから」「どのデバイスで」「どのアプリに」を判定  リスクを動的に計算することで「リモートアクセスの場合は生体認証を追加」など のコントロールも容易になる 引用: [Japan Tech summit

    2017] SEC 010

  14. ゼロトラストによるVPNの問題点の解決  キャパシティ/パフォーマンス  社内外で同じコントロールなので社外向けのキャパシティプランは不要  L7の暗号化なのでVPNより軽い。また直接SaaS等にアクセス可能  適切な制御の難しさ 

    一貫してロールとコンテキストでアクセス制御が可能  一貫したセキュリティポリシーの適用が困難  社内も社外もDCもSaaS同様の仕組みで運用可能  次世代認証基盤はインターネットにあるのでクラウドEndpointを適用し やすい

  15. 一貫したセキュリティポリシーの適用  次世代認証基盤によりクラウドベースのEndpoint Securityが適用しやすく  アクセスコントロールもエンドポイントも一貫した仕組みで対応 SaaS 業務 システム 次世代認証基盤

    URLフィルタ 不正検知 Endpoint Security

  16. まとめ  BeyondCorpはゼロトラストの実装の一つ  ゼロトラストは超乱暴に言えばポストVPN  社内も信用出来ないとして社外と同じ方式でNWを組む  HTTPSによる暗号化と次世代認証基盤を使ったCAACによるACL 

    FWによる境界からIDによる境界へのパラダイムシフト