ゼロトラストのクラウドベースのタクティカルネットワークを使用してエッジを保護

高速通信ネットワークで24時間365日インターネットに接続されていることは、もはや贅沢なことではなく、期待です。必要な情報を必要なときに、中断することなく見つけることが期待されています。しかし、最前線に配置された人々である戦術的なエッジにとっては、環境は大きく異なっています。

情報の収集と普及に責任を持つ者にとって、文字通りどこからでも安全にインターネットに接続できる能力は、生死に関わる問題であり、ミッションが成功するか失敗するかの違いであり、正確な情報が間に合うか遅すぎるかの違いでもあります。

このようなニーズに対応するため、国防総省(DoD)では、タクティカル・クラウド・エッジとタクティカル・コンピュート・ノードという概念を生み出しました。タクティカル・クラウド・エッジは通常、地域のハブノードや戦闘員の近くの船など、戦場内でホストされ、クラウドを物理的に手の届く範囲に設置します。さらに、タクティカル・コンピュート・ノードは小型の車両内で簡単に持ち運びが可能であり、ローカルなコンピューティングとストレージを提供し、タクティカル・クラウド・エッジが利用可能な場合にはそれと同期します。

しかし、ここで疑問が生じます。戦士を敵に晒したり、任務を危険にさらしたりすることなく、オープン・インターネットやタクティカル・クラウド内のリソースとの通信を確保するにはどうすればいいのでしょうか?

そして、ミッションパートナーとどのようにリソースを共有するかという問題があります。大韓民国軍の誰かに、すべてにアクセスさせることなく、必要なデータへのアクセスをどのようにして与えますか? NATOミッションパートナーがセキュリティを損なうことなくデータにアクセスできることをどのように保証しますか?

結局、この機能をグローバルに実行および保守するのを最も簡単にして、最高レベルのセキュリティを確保して、移動する必要のある面倒なインフラストラクチャを展開する必要なく、運用の場所に移動できるようにするにはどうすればよいでしょうか?

Zscaler Government Cloudのようなゼロトラストのクラウドソリューションが必要です。

ゼロトラストのクラウド型ソリューションの選択

ゼロトラスト・アーキテクチャは厳格なアクセス制御を維持し、デフォルトでは誰も(すでにネットワーク境界内にいる人も含む)信頼しません。そのため、Zscaler Government Cloudのようなクラウド型のゼロトラスト・ソリューションは、現場で必要とされるセキュリティ、モビリティ、アクセス、および容易さを戦術的なエッジに与えるための答えとなります。

Zscaler Government Cloudは、国防総省と軍の構成要素にインターネットと内部管理されたアプリケーションへの安全なアクセスを提供します。Zscaler Private Access™ (ZPA™)とZscaler Internet Access™ (ZIA™)の2つのサービスで構成されています。

Zscaler Private Access (ZPA)

ZPAは、ゼロトラストのクラウドサービスであり、タクティカル・クラウド、タクティカル・コンピュート・ノード、またはプライベートデータセンター上で稼働する内部アプリケーションへの安全なリモートアクセスを提供します。ZPAを使用すると、アプリケーションが外部に露出することがないため、権限のないユーザーには完全にステルス状態になります。このサービスは、ネットワークを拡張するのではなく、Zscaler Government Cloud(またはオンプレミスの拡張)で仲介された接続を介してミッションアプリケーションに接続することを可能にします。

ゼロトラスト・アクセスは、4つの重要な信条に基づいています。

  • アプリケーションへのアクセスは、VPNの使用やバックエンドのネットワークインフラの露出を必要としなくなりました。
  • インサイドアウト接続により、アプリが不正なユーザーにステルスされないようにします。
  • ネットワークのセグメンテーションではなく、アプリのセグメンテーションにより、ユーザーを特定のアプリに接続し、横方向への移動を制限します。
  • すべてのトラフィックは、エンドツーエンドで暗号化されたTLSトンネルを介して保護されています。

ZPA は、内部アプリケーションにアクセスするためのシンプルで安全かつ効果的な方法を提供します。アクセスはZscaler Cloud内でホストされ、DoD IT管理者がZPA Admin Portal内で作成したポリシーに基づいて行われます。Zscaler Client Connector(旧称:Zscaler App)と呼ばれるソフトウェアが各ユーザーデバイスにインストールされ、デバイスのセキュリティ姿勢を検証するのに役立ちます。

ZPAは、タクティカル・コンピュート・ノード、タクティカル・クラウド・エッジ、またはタクティカル・クラウドで実行されているアプリケーションに隣接して、仮想マシンとして展開されたApp Connectorと呼ばれる小さなソフトウェアを配置し、これを使用してマイクロトンネルをZscalerのクラウドに拡張します。App Connectorはクラウドへのアウトバウンド接続を確立し、インバウンド接続要求を受け付けないため、DDoS攻撃を防ぐことができます。Zscalerクラウド内では、ZPA Public Service Edge(旧称:Zscaler Broker)がアクセスを承認し、ユーザーとアプリケーションの接続をつなぎ合わせます。Zscaler Government Cloudは、効率的なトラフィックエンジニアリングのために、ZPA Private Service Edgeソフトウェアコンポーネントを介して戦域に拡張することもできます。

ZPAには4つの主要機能があり、コストと複雑さを軽減しながらセキュリティを向上させ、より良いユーザー体験を提供します。

  1. クラウド上で生まれているため、拡張性が高い。例えば、COVID-19のパンデミックに対応して、ZPAのクラウドは数週間で600%以上拡大しました。
  2. 広域ネットワークから切り離された長時間の運用が可能なため、ネットワーク環境の不利な場所での遠征任務を支援することができます。
  3. これにより、国防総省はエンドユーザーにバックエンドインフラストラクチャを公開することなく、IDに基づいてきめ細かなアプリケーションアクセスを定義することができます。アプリケーションは、許可されていない戦闘員やミッション・パートナーからは基本的に見えません。
  4. これはFedRAMP High認証を受けています。これは、Zscalerがクラウドベースのセキュリティソリューションを提供するための政府の要件を満たしていることを意味します。

ZPAは100%ソフトウェアで定義されているため、物理的なアプライアンスを必要とせず、ユーザーはアプリケーションのセキュリティを維持しながらクラウドとモビリティの恩恵を受けることができます。以下、ZPAサービスのアーキテクチャを見てみましょう。

 

図は、ZPA Private Service Edgeとして知られるクラウドの拡張機能を介して、Zscaler Government Cloudのゼロトラスト・アーキテクチャを使用して、承認されたミッションクリティカルなアプリケーションにアクセスしている戦闘員の様子を示しています。ZPA Private Service Edgeは、タクティカル・コンピュート・ノード上の他の構成要素と一緒に配置されます。タクティカル・コンピュート・ノードがZscaler Government Cloudとの通信を失っても、サービスは動作を継続し、切断状態になる前に定義されていたポリシーを実行します。

Zscaler Internet Access (ZIA)

ZIAはクラウドからサービスとして提供される安全なインターネットとウェブゲートウェイです。Zscalerをインターネットへの次のホップにするだけで、安全なインターネットのオンランプと考えてください。これにより、遠征ミッションの戦術的なユーザーは敵のネットワークを利用して、悪意のある脅威にさらされることなくミッションリソースに安全に接続することができます。

ZIAは、戦術的なユーザーとインターネットの間に立ち、デジタルフォース保護を提供し、SSLで暗号化されたトラフィックも含め、インターネット上のトラフィックの全バイトを検査します。ウェブやインターネットの脅威から完全に保護します。クラウドサンドボックス、次世代ファイアウォール、データ損失防止(DLP)、クラウドアプリケーションの可視化と制御をサポートするクラウドプラットフォームにより、ユーザーが悪意のあるコンテンツに感染したり、機密情報が流出したりすることはありません。

このサービスはクラウドベースのため、ハードウェアを導入する必要はありません。インターネット接続をZscalerに向けるだけで、トラフィックの行き先を敵に難読化しながら通信を確保します。

戦術的な運用では、一定期間すばやく立ち上がってから、使用を中止して別の場所に再配置する必要があるため、これは重要です。

Zscalerのグローバルクラウドポリシー

リモートユーザーは企業の可視性や制御の外にいることが多いため、グローバルクラウドポリシーはセキュリティにとって非常に重要です。

現場で何百人、何千人ものユーザーに対してアプライアンスを導入、管理、アップグレードする際によく見られる副産物として、予測不可能なセキュリティ機能があります。多くの場合、リモートサイトでは、コントロールできる機能が限られています。例えば、暗号化されたトラフィックをすべてスキャンしたり、潜在的なリスクをサンドボックスに迂回させたりすることはできないかもしれません。その結果、セキュリティポリシーが不均等に適用されることになります。

Zscalerのようなグローバルクラウドは、これらの変数をすべて排除し、すべての場所にあるすべてのインターネット接続トラフィックに対して、すべてのユーザーに対して統一されたセキュリティを提供します。クラウドベースの制御とは、クラウド内のセキュリティスタックのことで、すべてのトラフィックだけでなく、すべてのポートやプロトコルを常に検査することができます。ポリシー制御には、拠点でも現場でも違いはありません。クラウドで管理される一貫したポリシーは、ユーザーが接続する場所に関係なくセキュリティを向上させます。

ZIAグローバルセキュリティクラウドは、すべての場所で、すべてのユーザー(戦士やミッションパートナーを含む)のすべてのクラウドトラフィックにポリシーを均等に適用するための専用アーキテクチャを備えています。

また、Zscalerソリューションは、戦士が発行したハードウェアとの相互運用が可能です。他のツールを動作させるためのAPIを新たに作成する心配はありません。頑丈に作られた箱や電源コードも必要ありません。ウェアラブルコンピューティングであろうと何か他のものであろうと、サイズ、重量、消費電力を抑えることで、タクティカルエッジのモバイル性を維持することができます。

そしてZscalerは運用システムを超越しています。Zscaler Government Cloudは、Microsoft、Apple、Android、iOSのエンドポイントをサポートしており、戦士は必要なものすべてにアクセスすることができます。

これは、切断されたオペレーションにおけるシームレスな接続性を意味します。また、現場に座っていても、基地に戻っているのと同じようにアプリケーションにアクセスできるような標準化されたアプローチを持つことで、戦術的な優位性が得られることも意味します。

ハイブリッドクラウド、パブリッククラウド、クラウドサービスを提供する自社のデータセンターなどがありますが、Zscalerはそれらの間を行き来するための橋渡し役となります。

パートナーシップでより強く

Zscalerは、堅牢で成熟したセキュリティas-a-serviceプラットフォームを提供するだけでなく、業界パートナーとの緊密な統合を活用して、サービスを容易に展開・統合できるようにしています。
ZscalerはZPAサービスの一部として基本的なデバイスの姿勢チェックを行い、CrowdStrike、Carbon Black、SentinelOneなどのエンドポイント検出・応答(EDR)企業との統合により、その機能をさらに強化しています。

業界をリードするパートナーと統合することで、Zscalerはユーザーがリソースに接続する前にエンドポイント上でEDR機能がアクティブであることを保証します。

ZIAとCrowdStrikeはクラウド間でも脅威インテリジェンスを共有しており、Zscalerが世界中のどこでも検出した脅威のシグネチャをCrowdStrike Falconサービスに加入しているエンドポイントで検出することができます。

また、ZscalerはSplunk、Elastic、ArcSightなどの様々なセキュリティ情報・イベント管理(SIEM)ベンダーと統合し、これらのソリューションが当社のリアルタイムストリーミングデータを簡単に取り込めるようにしています。Zscalerはインライン・クラウド・アクセス・セキュリティ・ブローカー(CASB)機能を提供していますが、ZIAはMicrosoft Cloud App Security(MCAS)やMcAfee MVISIONなどのサードパーティ製CASBソリューションとの統合も行っています。

まとめ

Zscaler Government Cloudプラットフォームは、誰もが必要なコンピュートリソースに安全にアクセスするための標準化された方法を提供します。ミッションパートナーは、基礎となるアーキテクチャのセキュリティ自体の整合性を損なうことなく、必要な情報にアクセスすることができ、アクセスを許可されています。ユーザーが船上にいるのか、基地にいるのか、砂漠の中にいるのかに関わらず、情報にアクセスするための共通の方法論を持っています。これがタクティカルエッジの安全性を維持するものです。

GOVERNMENT CLOUDの主な利点

  • ネットワーク上にユーザーを配置しない:許可されたユーザーは、ネットワークにアクセスしなくても特定のプライベートアプリにアクセスできるため、横移動やランサムウェアの蔓延のリスクを軽減できます。
  • ネットワークではなく、アプリケーションごとにセグメント化:Microtunnelsは、ネットワーク管理者がネットワークをセグメントしたり、アクセス制御リストやファイアウォールポリシーを管理したりする必要がなく、アプリケーションごとにセグメントすることを可能にします。
  • インサイドアウトの接続は、アプリがステルスであることを意味する:サービス主導のゼロトラスト・アーキテクチャにより、アプリは認可されたユーザーにアウトバウンドで接続されます。IP アドレスは決して公開されず、DDoS は不可能です。
  • 100%クラウド配信のゼロトラスト・アクセスサービス:ゼロトラストをサービスとして提供することで、シンプルな管理、高可用性、大規模化、DDoS攻撃に対する強力な防御を実現します。
  • 隠れた存在のITアプリケーションを発見し、安全に保護する:企業は、データセンターやパブリッククラウドで実行されている、これまで発見されなかった内部アプリケーションの可視性を得ることができます。管理者は、検出されたアプリケーションに対してきめ細かなポリシーを設定することができ、最小特権に基づいたアクセスを保証します。

 

コメント

タイトルとURLをコピーしました