Upgrade to Pro — share decks privately, control downloads, hide ads and more …

InfraStudy2nd_4_LT1

Tjumpei
August 24, 2021

 InfraStudy2nd_4_LT1

ゼロトラスト大全読んでゼロトラ完全に理解した

Tjumpei

August 24, 2021
Tweet

More Decks by Tjumpei

Other Decks in Technology

Transcript

  1. Agenda 目的 1 ゼロトラストとは 2 境界防御モデルの課題 3 境界防御とゼロトラストネットワークの歴史 4 Zero

    Trust Architecture(NIST7原則) 5 Zero Trust strategy – what good looks like 6 概念提唱者に聞くゼロトラスト導入の5Step 7 ゼロトラストネットワークの構成要素 8 ゼロトラスト実装について 9 事例に学ぶ 10 まとめ 11
  2. 2 ゼロトラストネットワークとは ゼロトラストネットワークはすべての通信を「信頼できな いもの」とする考え (O'Reilly Japan - ゼロトラストネットワー ク (oreilly.co.jp))

    “ゼロトラストネットワークとは、 ファイアウォールやVPNに代表される 従来型のセキュリティ(境界防御モデ ル)が通用しなくなった現状を踏まえ、 すべてのトラフィックを信頼しないこ とを前提とし、検証することで脅威を 防ぐというアプローチです。”
  3. 境界防御とゼロトラストネットワークの歴史 4 境界防御の誕生 境界防御の発展 ゼロトラストネットワークの誕生 1990年代 2000年代 2010年代 1994 ・NAT

    ・IPsec ・プライベー トIPアドレス 2004 Jericho(エリコ) フォーラム 非境界型の防 御普及団体 2010 ゼロトラ スト提唱 2014 BeyobdCorp論文公開 (Google) 2014 NISTのZTA NIST: National Institute of Standards and Technology ZTA: Zero Trust Architecture
  4. Zero Trust Architecture(NIST7原則) 5 Tenets of Zero Trust References: NIST

    Special Publication 800-207 Zero Trust Architecture (nist.gov) 1. All data sources and computing services are considered resources. 2. All communication is secured regardless of network location. 3. Access to individual enterprise resources is granted on a per- session basis. 4. Access to resources is determined by dynamic policy 5. The enterprise monitors and measures the integrity and security posture of all owned and associated assets. 6. All resource authentication and authorization are dynamic and strictly enforced before access is allowed. 7. The enterprise collects as much information as possible about the current state of assets, network infrastructure and communications and uses it to improve its security posture.
  5. Zero Trust strategy – what good looks like (Microsoft) 6

    References: Zero Trust Maturity Model (microsoft.com)
  6. 概念提唱者に聞くゼロトラスト導入の5Step 7 Step1. 守るべき表面(Surface)の定義 Data(データ)、Asset(資産)、Application(アプリケーション)、 Service(サービス)からなる「DAAS」を個別に守る。 従来の外部からの攻撃されてた境界を攻撃表面、守るべき表面を 防御表面(ProtectSurface)と呼ぶ Setp2. 業務システムにおけるトランザクションの把握

    DAASに適切なアクセス制御を講じるには誰がどのような流れで データを処理するのかを理解する必要がある Step3. ゼロトラストを実現するためのIT環境の設計、アクセス制御の実装 IAPのようなDAASへの門番を設けるのが1つの手 Step4. DAASに誰がアクセスできるのかを示すポリシーの策定 Step5. コントロールシステムの監視と維持 概念の提唱者:ジョン・キンダーバグ氏 2010年フォレスターリサーチ在籍時にゼロトラストモ デル提唱。2017年よりパロアルトネットワークス在籍
  7. 8 ゼロトラストネットワークの構成要素 ユーザーの認証・アプリへのアクセス認可の強化(メイン) ① Identity & Access Management (IAM) ・複数システムへのSSO

    ・多要素認証 ・コンテキストベース認証 ②Identity Aware Proxy (IAP) ・アプリの門番として機能し、ユーザーによる正当な悪瀬薄だけをアプリ へと中継するプロキシ ・ユーザー・デバイスの属性(IAMと連携)、デバイスのセキュリティ強度、 アクセス元などをチェックして、社内アプリの利用可否を細かく制御 IAMの主な製品 Okta Okta Identity Cloud Google Cloud Identity Microsoft Azure Active Directory IAPの主な製品 Akamai Akamai Enterprise Application Access(EAA) Google Identity-Aware Proxy Microsoft Azure Active Directory Application Proxy
  8. 8 ゼロトラストネットワークの構成要素 デバイスの防御 ③ Endpoint Detection & Response(EDR) ・検知 ・封じ込め

    ・調査 ・修復 ※MDMと連携 ④Mobile Device/Application Management(MDM/MAM) ・IT資産管理ツールとしての機能(version,パッチ,app)※IAMと連携 ・クライアント管理(初期設定、アプリ一斉配布など) ・内部カメラ、SDカードへのアクセス禁止 ・リモートロック/ワイプ(消去) EDRの主な製品 Cisco Cisco AMP for Endpoint Trendmicro ApexOne Endopint Microsoft Microsoft Defender for Endpoint (旧ATP) VMware Vmware Carbon Black Cloud MDM/MAMの主な製品 VMware VMware Workspace ONE Google Googleエンドポイント管理 Microsoft Microsoft Intune Citrix Citrix XenMobile 通信キャ リア 通信キャリアのMDM/MAM
  9. 8 ゼロトラストネットワークの構成要素 全ての行動の監視と分析 ⑤Security Information Event Management(SIEM) システムのログを一元管理・分析 ※EDR.IAM.CASBと連携 Security

    Operation Center(SOC)やシステム管理者へ通報 ⑥Cloud Access Security Broker(CASB) ※SWG,SIEMと連携 SaaSなどの自社のコントロールにないアプリの利用状況を監視・分析 ⑦Secure Web Gateway(SWG) ※CASB,IAPと連携 ユーザーによるインターネット利用を監視・制御 SIEMの主な製品 Google Chronicle Security Analytics Platform Splunk Splunk Enterprise Security Microsoft Azure Sentinel CASBの主な製品 Cisco Cisco Cloudlock Microsoft Microsoft Cloud App Security McAfee MVISION Cloud SWGの主な製品 Cisco Cisco Umbrella Zscaler Zscaler Internet Access
  10. ゼロトラスト実装について 9 実装するためのサービス選定の課題 ・オンプレADいるからなんとか有効利用したい ・コロナでタブレット買ったからリモートワークで使える? ・オンプレで認証頑張りたい Active Directoryフェデレーションサービス(ADFS) Webアプリケーションプロキシ Azure

    AD Connectのセット運用きつい ・全部MSでそろえたい、全部Googleでできる? ・結局SIerのかついでる製品or実績ある製品の組み合わせ 活用できそうな事例・情報みんな共有して幸せに なりたい
  11. 事例に学ぶ 10 NTTコミュニケーションズ 課題 https://xtech.nikkei.com/atcl/nxt/column/18/01418/092400006/ シンクライアント端末の使い勝手が悪い 施策 EDR・BitLocker・Windows Hello導入 暗号化を施した「FAT端末」採用

    情報漏洩の基準変更が背景に 2017/05 個人情報保護法改正に伴う情報漏洩の扱いに関する指針が変更 高度な暗号化が施されている場合は端末を紛失しても外部に漏洩していな いとみなされるようになった!