2020 年に急速に変化が起こりました。おそらく、従業員の大部分がリモート アクセスを余儀なくされています。また、リモート ワークでは、Bring Your Own Device (BYOD) シナリオが爆発的に増加し、組織はネットワークの境界を拡張してインターネット全体 (およびそれに伴う追加のセキュリティ リスク) を含める必要があります。
今年の Microsoft Ignite では、従来のオンプレミス リソースを、SaaS、IaaS、PaaS、およびオンプレミスのすべてにシームレスなアクセスを提供するゼロ トラストセキュリティ モデルに組み込む方法を示しました。覚えて。 プレゼンテーション全体をご覧になり、以下のハイライトを確認してください。
新しい分散型ワークプレイス
アクセスを規制するためにファイアウォールと VPN の「フラット ネットワーク」アプローチにしっかりと依存していた組織は、エンド ツー エンドのセキュリティを提供するために必要な可視性、ソリューションの統合、および俊敏性に欠けていることに気付きました。リモート ワーカーに適応し、どこからでも人、デバイス、アプリケーション、データを保護する新しいモデルが必要でした。
図 1: 従来のアクセス モデル
ゼロ トラスト セキュリティ モデルでは、すべてのアクセス リクエストは、アクセスを許可する前に異常がないかどうか厳密に検査されます。ユーザーの ID からアプリケーションのホスティング環境まで、すべてがマイクロセグメンテーションと最小特権アクセスの原則を使用して認証および承認され、ラテラル ムーブメントが最小限に抑えられます。
ゼロ トラストとは、次の 3 つの基本原則に従うことを意味します。
- 明示的に確認する:ユーザー ID、場所、デバイスの正常性、サービスまたはワークロード、データ分類、異常など、利用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。
- 最小特権アクセスの使用: Just-In-Time (JIT) と Just-Enough-Access (JEA)、リスクベースの適応型ポリシー、およびデータ保護を使用してユーザー アクセスを制限し、データと生産性の両方を保護します。
- 違反を想定する:ネットワーク、ユーザー、デバイス、およびアプリの認識によってアクセスをセグメント化することで、爆発範囲を最小限に抑え、横方向の移動を防ぎます。すべてのセッションが暗号化されていることを確認し、分析を使用して可視性を高め、脅威の検出を促進し、防御を強化します。
図 2: Microsoft ゼロ トラスト モデル
上の図では、ユーザー、デバイス、およびネットワーク間でアクセスがどのように統合されているかを確認できます。セッションのリスクにつながるさまざまな条件のすべて。ゲートウェイとして機能するアクセス ポリシーは、SaaS、IaaS、PaaS、オンプレミス、またはクラウド内のリソース全体で統合されます。これは、Azure、Amazon Web サービス (AWS)、Google Cloud Platform (GCP)、またはその他のクラウドのいずれであっても当てはまります。侵害が発生した場合、豊富なインテリジェンスと分析が、何が起こったのかを特定し、再発を防ぐ方法を支援します。
現代のサイバーセキュリティ
新しい境界のない職場に適したセキュリティ ソリューションは、ゼロ トラストの原則を採用しており、ユーザーはネットワーク全体ではなく、必要な特定のアプリケーションにのみアクセスできます。ゼロ トラスト アクセスはユーザーの ID に関連付けられているため、IT 部門は、多くの場合、企業以外のデバイスを使用する新しいユーザーやリモート ユーザーを迅速にオンボーディングし、権限を適切にスコープすることができます。
今日のデジタル資産のサイバーセキュリティ モデルには、次のものを含める必要があります。
エンドユーザー向け:
- すべてのリソースへのアクセス: SaaS、IaaS、PaaS、オンプレミス。
- シームレスなエクスペリエンス: 余分な手順や一意の URL を覚える必要はありません。
- 優れたパフォーマンス: プロキシ サービスはグローバルに存在し、地理的位置情報を使用する必要があります。
セキュリティ/IT 管理者向け:
- ネットワークではなく、アプリごとのセグメンテーション。
- ゼロ トラストの原則に基づく適応型アクセス。
- インフラストラクチャの複雑さとメンテナンスを軽減します。
アプリを ID ベースの安全なアクセス ソリューションに接続する
Microsoft Azure Active Directory (Azure AD) を使用すると、単一の ID ベースのコントロール プレーンを介してすべてのアプリケーションを簡単に接続できます。クラウド アプリに関しては、Azure AD は Security Assertion Markup Language (SAML) や OpenID Connect (OIDC) などの標準認証モードをサポートしています。組織が開発している可能性のある新しいアプリに対応するために、Azure AD には、これらの統合に役立つツールとソフトウェア開発キット (SDK) も用意されています。
図 3: Microsoft Azure アクティブ ディレクトリ
クラシック アプリケーションまたはオンプレミス アプリケーションに関しては、 Azure AD アプリケーション プロキシを使用すると、セキュリティ チームは、クラウド アプリに使用されるのと同じポリシーとセキュリティ制御をオンプレミス アプリに簡単に適用できます。必要なのは、コネクタと呼ばれる軽量のエージェントを Windows サーバーにインストールして、オンプレミス ネットワークへの接続ポイントを許可することだけです。このように、1 つのコネクタ グループを構成して複数のバックエンド アプリケーションにサービスを提供できるため、真にマイクロセグメント化されたソリューションを自由に設計できます。
図 4: Azure Active Directory アプリケーション プロキシ
Azure AD アプリケーション プロキシ コネクタも送信接続を使用します。つまり、追加の受信ファイアウォール ルールを開く必要はありません。また、従来のPurdue モデルの場合のように、非武装地帯 (DMZ) に配置する必要もありません。アプリを変更する必要はありません。また、Azure AD アプリケーション プロキシは複数の認証モードもサポートしています。そのため、ユーザーは引き続きシングル サインオン (SSO) エクスペリエンスを得ることができます。その後、ユーザーは任意のデバイスを使用して外部 URL からアプリにアクセスできます。VPN は必要ありません。
Azure AD はすべての要求を事前認証し、検証済みのトラフィックのみがアプリに到達するようにします。したがって、別の保護層を提供します。さらに、設定した条件付きアクセスポリシーは、その時点で適用できます。
リアルタイムで保護
Microsoft Cloud App Security は、Azure AD の条件付きアクセスとネイティブに統合され、リアルタイム セキュリティをクラウド アプリケーションとオンプレミス アプリケーションの両方のセッションに拡張します。このネイティブの Microsoft ソリューション スタックにより、オンプレミスのアプリケーションが迅速に起動し、同じように見えることが保証されます。違いは、データの機密性に基づいて、アップロード、ダウンロード、切り取り、コピー、貼り付けなどの詳細なアクションを制御できるようになったことです。たとえば、アプリ プロキシ経由で Team Foundation Server (TFS) のオンプレミス インスタンスにアクセスするユーザーは、Cloud App Security を使用して、開発者がコードを変更できるようにする一方で、管理されていないデバイスにファイルをダウンロードする機能をブロックできます。ファイル アップロードの試みでマルウェアをブロックして、オンプレミス インフラストラクチャの安全性を確保するなど、他の多くのシナリオがサポートされています。
図 5: マルウェア検出画面
Azure AD と Microsoft Cloud App Security で他にできることを確認する
マイクロソフトでは、ID とセキュリティの緊密な統合がゼロ トラスト戦略にとって極めて重要であると考えており、この分野で常に革新を続けています。このブログで説明されている既存の機能のいくつかが実現する様子を確認するには、アーカイブされたプレゼンテーションを見て、Microsoft の ID およびセキュリティ ツールがオンプレミス アプリケーションで有効にする強力な機能のデモンストレーションをご覧ください。アクセスの許可またはブロック、パスワードのリセットの要求、従来の承認のブロック、多要素認証の要求、リアルタイムでのセッションの制御などを簡単に設定する方法を学びます。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments