なぜ今VPNを交換するべきなのか

概要

今日のグローバルで分散型のIT環境では、VPNのような境界線ベースのセキュリティでインフラを保護することは事実上不可能であり、このソリューションは20年以上もの間、意味もなく更新されていません。

VPNは、Microsoftが最初にピアツーピアトンネリングプロトコルを開発した1996年に作成されました。それとほぼ同じ時期に、Blackberryが双方向のポケットベルを発表し、「クラウドコンピューティング」という用語が初めて生まれました。

今日のネットワークの状況は、分散したアプリケーション、人、データなど、信じられないほど複雑なものとなっています。企業は、標準的な保護方法である信頼されたプライベート・ネットワークを採用し、何百、何千ものVPNやファイアウォール・ルールを複雑なトポロジで適用して、混沌とした状況を管理してきました。クラウドとモバイルのエコシステムの拡大により、境界線ベースのツールは時代遅れになっています。その一方で、ネットワークには認可されていない安全でないデバイスがあふれています。さらに問題を複雑にしているのは、分散化が進む職場環境では、サイバー脅威は外部からだけでなく、組織内部からも発生する可能性が高いということです。

VPNは、今日の複雑で変化するITインフラのために設計されたものではありません。私たちは現代の労働力であり、あらゆるところで仕事をしており、固定された簡単に識別可能な境界線の時代はとっくに終わっています。VPN技術を使って今日の仕事の安全性を確保することは、単に進歩に逆行するだけです。

VPNはセキュリティソリューションではなく、ユーザーが遠隔地から環境にアクセスできるようにするための単なる接続手段です。ソフトウェア定義境界線は、VPNの限界を克服した現代的なセキュリティソリューションです。

VPNの致命的な欠陥

 

  • VPNは、盲目的に信頼しているため、すべてのものに対して認証を行います。ユーザーのデバイスが認証されると、そのユーザーは通常、不正な資産を含むネットワーク全体への完全なアクセスを得ることができます。
  • VPNのアクセスルールが限定されすぎていて、複雑な環境に対応できません。IPアドレスに基づいたルールが広すぎて、広くアクセスできるように設定されているか、制限が強すぎて作業が阻害されているかのどちらかになります。
  • VPN は、静的な境界ベースのセキュリティを提供します。これは、ユーザーが複数の場所でデータにアクセスしている場合や、パブリッククラウド、サードパーティがホストしているSaaSアプリケーションなどでは効果がありません。
  • VPN は、リモートユーザによるリモートアクセスのみを目的としたサイロ化されたソリューションです。VPN は、組織がオンプレミスのユーザーやネットワークのセキュリティを確保するのには役立ちません。

VPNセキュリティの欠陥

VPNは、遠隔地にいる従業員、サードパーティ、請負業者が企業ネットワークにアクセスできるようにするために広く使用されています。VPNは、ユーザーをネットワークに認証するためにシンプルなIPベースのセキュリティを使用していますが、VPNが脆弱である理由がいくつかあります。

VPNソリューションは、ユーザーが仕事をするために実際に必要とするリソースよりもはるかに多くのリソースへのアクセスを提供することがよくあります。VPNは管理が難しいため、基本的なTCP/IPネットワーキングと同じくらい古い考えに基づいて、サブネット全体への広範なアクセスを許可するように設定されていることが多いのです:アプリケーションレベルでの認証の前に、ユーザーはネットワークセグメント全体への接続を許可されなければなりません。多くの場合、VPNユーザーは、自分の責任や接続の状況を無視して、実際に必要な以上のものを見たり、アクセスしたりする可能性があります。

悪意のある行為者がVPNを使ってネットワークに侵入する方法はいくつかあります。ここでは、一般的に悪用される4つの問題を紹介します。

問題1: VPNバックドア

バックドアはVPNの大きな問題です。バックドアとは、通常のセキュリティメカニズムを迂回してコンピュータシステムにリモートアクセスする方法です。「VPN バックドア」をウェブで検索すると、地球上のあらゆる VPN ベンダーを含む何百万もの結果が出てきます。これらの記事は、これらの企業が作成し、市場に公開した技術の欠陥(意図的または非意図的なもの)についてのものです。また、Evan Gilman 氏と Doug Barth 氏が著書「Zero Trust Networks」の中で語っている別の種類の「バックドア」もあります。『Zero Trust Networks: Building Secure Systems in Untrusted Networks(信頼されていないネットワークで安全なシステムを構築する)』の中で、次のように述べられています。

問題2: オープンポート

すべてのVPNコンセントレータは、例外なく、オープンで継続的に監視するポートを持つインターネット上に存在するように配置されています。VPNコンセントレータは、何千人ものリモートユーザがVPN接続を確立することを可能にするネットワーク機器にすぎません。これは、すべての VPN コンセントレータが「公共のインターネット上に存在する」ということを意味し、接続の相手が誰であるかに関係なく、一日中、毎日、接続の試みを受け付けていることを意味します。この固有の設計上の欠陥は、悪意のある人物が悪用するための攻撃面/ベクトルを公開しています。

問題3:認証

ユーザーが認証を行い、コンセントレータを介してVPNトンネルを確立すると、何が起こるかを考えてみましょう。そのユーザーにはIPアドレスが与えられ、事実上、コンセントレータの背後にある「信頼された」内部ネットワークに落とされます。他のツール(ACLポリシーなど)や技術(NACやルーターなど)がなければ、そのユーザーはそのネットワーク上で好きなことをすることができ、エンドポイントはネットワーク内を横方向に移動するための攻撃ベクトルとなります。これは、Evan Gilman氏とDoug Barth氏が著書の中で述べているもう一つのバックドアです。他の防御策や保護策が講じられていない限り、それらのシステム上で実行されている個々のサービスはすべてオープンで、接続の試みを待ち受けています。

問題4: クッキー

ユーザーが認証されると、その認証は通常暗号化されていないクッキーの形でユーザーのコンピュータに書き込まれます。特別な予防措置が取られていない場合、そのクッキーはメモリ内にも存在し、通常は暗号化されていません。そのユーザのラップトップがすでに脅威行為者の制御下にある場合、つまり攻撃者がすでにマルウェアを配備している場合、その認証クッキーは悪意のある行為者が利用可能で、盗まれたり、流出したり、クレデンシャルベースの攻撃に使用されたりする可能性があります。上記のオープン・ポートの問題では、攻撃者が暗号化されていないクッキーにアクセスできるようになれば、VPN を使ってネットワークに簡単にアクセスできるようになります。繰り返しになりますが、一度接続されると、バックドアはネットワーク全体に大きく開かれています。

VPNにはアーキテクチャ上の欠陥があり、認証クッキーを暗号化するだけでは解決しません。

  • コンセントレータは引き続きインターネットアクセス可能なポートでリッスンします
  • ユーザーは「信頼された」ネットワークに接続されたままです
  • これまで通り、各データセンターはワイドオープンなLAN間接続で接続され、データセンター間の横移動を可能にしています
  • VPNアプリケーションは、複数の宛先への同時接続をサポートしません
  • コンセントレーターは、他の重要なビジネスシステムとの統合がまだ不足しています

VPNの複雑性の欠陥

VPN ポリシー管理は、管理に多大なリソースを必要とする複雑すぎるものです。ポリシーを設定する VPN 管理者は、幅広いネットワークアクセスを提供するオープンポリシーを作成するか、限定的なネットワークアクセスを提供する制限的なポリシーを作成するか、という重要な選択から始めなければなりません。

問題は、制限的なポリシーの管理が複雑でエラーが発生しやすく、管理が難しいため、これらのポリシーはネットワークへの広範なアクセス用に設定されていることが多いということです。厳格なアクセスは、管理、維持、監査が必要なルールの拡散につながります。広範囲なアクセスを開放して重要なセキュリティリスクを導入したり、アクセスを制限して管理者が手動でアクセスを提供したり、「修正」したりすることに貴重な時間を費やしたりすることが課題となります。

さらに悪いことに、オンプレミス環境とクラウド環境でVPNが使用されているため、固定IPアドレスに基づいてアクセスを管理することはできません。新しいIPアドレスはクラウド・プロバイダーによって動的に割り当てられ、他のIPアドレスと重複する可能性があります。VPN ポリシーを変更したり、新しいルールを作成したりする必要があるため、管理者は負担の大きい VPN ルールのセットを適用したり解読したりするのに多くの時間を費やしてしまいます。このアクセスの複雑さを管理することは、リソースを必要とし、負担が大きくなります。

VPN クライアントは、1 つのデバイスにつき 1 つの同時接続に制限されています。その結果、複数のデータセンター、オフィス、またはパブリッククラウドプロバイダーを持つVPN管理者には、2つの選択肢があります。

  1. 1つのVPN接続で、すべてのデータセンター、オフィス、およびクラウドプラットフォーム間の企業全体の接続性を、すべてのユーザーに提供します。このアプローチのセキュリティリスクは、1つの場所が危険にさらされると、他のすべての場所も危険にさらされる可能性があるということです。
  2. 各 VPN クライアントが 1 つの場所にのみ接続するように制限します。これにより、ユーザーは接続しようとしている特定のリソースに対してどの VPN 接続を使用するかを知る必要があります。これは理想的なユーザー体験ではなく、生産性に影響を与える可能性があります。エンドユーザーは、どの接続がどのリソースに接続しているかを内部化しなければなりません。ユーザーが日々のタスクを実行するために必要なリソースにアクセスするために、常にVPNを切断して再接続するのは効率的ではありません。

最後に、ほとんどの組織では、VPNと並行してファイアウォールのルールを導入しています。ファイアウォールは設定されていることが多く、逸脱した場合、通常は重大な変更チケットが発行されるため、そのまま放置されています。これでは、安全ではない技術の複雑さがさらに増してしまいます。

リモートネットワークセキュリティへのより良いアプローチ

VPNの致命的な欠陥と一般的な悪用を克服するためには、ネットワークセキュリティへの新しいアプローチが必要です。この新しいアプローチは、ユーザーの身元を広範囲に検証しない限り信用してはならないという考え方であるゼロトラストに根ざしたものでなければなりません。

ソフトウェア定義境界線(SDP)は、ゼロトラストに基づいています。これは、ユーザーとユーザーがアクセスするリソースの間に1対1のネットワーク接続を動的に作成するネットワークセキュリティモデルです。SDP は、個別に暗号化されたネットワークセグメントを作成して、他のすべてのものを見えなくし、アクセスできないようにすることで、リアルタイムで攻撃の対象となる領域を減らします。1つのネットワークセグメントは、個々のユーザー、デバイス、セッションごとに調整された、個別化されたマイクロセグメントネットワークです。SPA(Single-Packet Authorization)技術を使用して、検証済みのユーザーのみがシステムと通信できるようにインフラストラクチャを隠蔽します。ポートスキャンには見えず、暗号化ハッシュ化されているため、さらなる防御が可能です。さらに、このソリューションは総合的なソリューションであり、リモートおよびオンプレミスのリソースにアクセスするリモートおよびオンプレミスの両方のユーザーや、保護されていないIoTデバイスにアクセスするユーザーに対して、単一のセキュアなアクセス制御プラットフォームを提供します。

アイデンティティ中心

ソフトウェア定義境界線は、IPアドレスではなく、アイデンティティを中心に設計されています。SDPは、既存のディレクトリサービスやIAMソリューションとシームレスに統合します。SDPは、ユーザーとそのデバイスの多次元プロファイルを構築することができます。ネットワークへの接続を許可する前に、実際のユーザーのコンテキストを分析します。

  • 彼らの役割と特権は何か?
  • どこからアクセスを要求しているのか?
  • 何時から何時まで?
  • 相手のデバイスは安全か、感染しているか?

適応性と拡張性

アクセス権限は、ユーザーのコンテキスト、デバイス、セキュリティ状況に基づいてリアルタイムに自動的に適応します。完全にプログラム可能で、新しいクラウドの導入にも自動的に拡張してポリシーを適用し、運用システムと統合して自動化された時間ベースのアクセスを実現します。

ゼロトラストを可能にする

SDPは、2つの重要な方法でゼロトラストをサポートしています。SPAを利用して最初に認証を行い、次に接続することで、外部ネットワークが攻撃者から見えなくなり、外部からの攻撃対象が減少します。認証に成功した後、SDPは、1つの離散的な暗号化されたセグメントを作成し、必要なリソースへのアクセスのみを許可し、それによって横方向への移動の攻撃面を減らすことができます。

ソフトウェアで定義された境界線の仕組み

  1. シングルパケット認証を使用して、クライアントはコントローラにアクセス要求を行います。クライアントデバイスはコントローラに対して認証を行い、コントローラはクレデンシャルを評価し、人、環境、およびインフラストラクチャに基づいてアクセスポリシーを適用します。
  2. コントローラはコンテキストをチェックし、Live Entitlements をクライアントに渡します。コントローラは、暗号化された署名付きトークンをクライアントに返します。
  3. SPA を使用して、クライアントはこれらの Live Entitlements をアップロードし、ゲートウェイはユーザーのコンテキストに一致するアプリケーションを検出するために使用します。ユーザーがリソースにアクセスしようとすると、例えば保護されたサーバ上でウェブページを開くなどして、ネットワークドライバはトークンを適切なクロークされたゲートウェイに転送します。ゲートウェイは、ネットワークの位置、デバイスの属性、時間帯などに基づいてアクセスを制御するための追加のポリシーをリアルタイムで適用します。ゲートウェイは、アクセスを許可したり、アクセスを拒否したり、ワンタイムパスワード(OTP)の入力を促すなど、ユーザーに追加のアクションを要求したりすることができます。
  4. このセッションのために動的な Segment of One ネットワークが構築されます。一度許可されると、リソースへのすべてのアクセスは、クライアントからゲートウェイを経て、安全で暗号化された ネットワークトンネルを通ってリソースに到達します。アクセスは LogServer を通してログに記録され、ユーザーのアクセスの永続的で監査可能な記録があることを保証します。
  5. コントローラとゲートウェイは、コンテキストの変化を継続的に監視し、それに応じてSegment of Oneを調整します。

ソフトウェアで定義された境界線の評価

すべてのSDPが同じように作成されるわけではない。中には、特定のベンダーのクラウドに限定されていたり、Webベースのアプリケーションに限定されていたりと、多くの制限が含まれているものもあります。RDPやSSHなど、すべてのプロトコルをサポートしているSDPを探してください。真の SDP は、Cloud Security Alliance SDP 仕様に準拠し、シングルパケット認証(SPA)を使用してすべてのポートを隠蔽し、DDoS 保護を提供します。包括的な SDP は、リソースを迅速に定義し、ユーザーアクセスを自動プロビジョニングするオートリゾルバを使用することができます。

ゼロトラスト・モデルを実装し、オフィス全体のリモートネットワークアクセスをきめ細かく制御し、場所に関係なくリモートの従業員をサポートする場合は、ソフトウェア定義の境界がソリューションです。

 

コメント

タイトルとURLをコピーしました