ゼロトラストについてNISTのガイドライン(ドラフト)が公開されていました。
Draft NIST Special Publication 800-207(Zero Trust Architecture)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft.pdf
従来のセキュリティモデルである境界防御(Perimeter Defense)に替わる新たなセキュリティモデルとして最近よく聞く言葉なので、自分の勉強のためにガイドラインを読んでみました。
ガイドラインの構成
ガイドラインは以下の構成です。
- Introduction
- Zero Trust Network Architecture
- Zero Trust Architecture Logical Components
- Deployment Scenarios/Use Cases
- Threats Associated with Zero Trust Architecture
- Zero Trust Architecture and Existing Federal Guidance
- Migrating to a Zero Trust Architecture
ゼロトラストの定義
ガイドラインの2章では以下のように定義してあります。
An operative definition of ZTA is as follows:
Zero Trust Architecture (ZTA) provides a collection of concepts, ideas, and component relationships (architectures) designed to eliminate the uncertainty in enforcing accurate access decisions in information systems and services.
ゼロトラストアーキテクチャ(ZTA)は、情報システムおよびサービスで正確なアクセス決定を実施する際の不確実性を排除するために設計された概念、アイデア、およびコンポーネントの関係(アーキテクチャ)のコレクションを提供します。(Google翻訳)
個人的な解釈ですが、ゼロトラストでは、「リソース」(データだけでなく、サーバやプリンタ等のデバイスも含む)へのアクセスの不確実性を減らすため、認証による遅延は最小限に抑えながら、アクセスルールは最小に制限(信頼ゾーンの縮小)する考え方です。
ゼロトラストの論理構成
3章ではゼロトラストの論理構成を解説しています。
- ポリシーエンジン(Policy Engine)
リソースへのアクセス許可を最終決定する。 - ポリシー管理者(Policy Administrator)
クライアントとリソース間の接続を確立する。クライアントがリソースにアクセスするための認証トークンまたは資格情報を生成する。 - ポリシー執行ポイント(Policy Enforcement Point)
サブジェクト(ユーザやマシン)とリソース間の接続を有効にし、監視し、終了させる。
また、周辺にあるものは、例えば「Industry Compliance System(PCI DSS等の業界ルール)」等はゼロトラストのアクセスルールの決定などにかかわりのあるものです。
ゼロトラストの脅威
5章ではゼロトラストの脅威を解説しています。
- ZTA決定プロセスの転覆
ZTAの主要なコンポーネントが侵害されてしまうこと - DoS攻撃またはネットワークの中断
ZTAの主要なコンポーネントが攻撃されて可用性を喪失すること - 内部者の脅威
悪意ある内部者により侵害されてしまうこと - ネットワーク上の可視性
企業が所有しないネットワークの状況がわからない - ネットワーク情報の保存
ネットワークトラフィック情報が狙われる - 独自のデータ形式への依存
独自のデータ形式を持つプロバイダに起因する相互運用の問題 - ZTA管理における非個人エンティティ(NPE)の使用
攻撃者がエージェントになりすましてしまう
ゼロトラストの要件
Forrester Research社は、ゼロトラストに求める要件を定義しました。
ゼロトラストの要件
要件 | ソリューションの例 |
ネットワークセキュリティ | SWG(Secure Web Gateway)SDP(Software Defined Perimeter) |
デバイスセキュリティ | EDREPPMDM |
アイデンティティセキュリティ | IAM |
ワークロードセキュリティ | CWPP(Cloud Workload Protection Platform) |
データセキュリティ | DLP |
可視化と分析 | CASBSIEM |
自動化 | SOAR(Security Orchestrating and Automation Response) |
また、同社の2019年Q4の「Zero Trust eXtended Ecosystem Platform Providers」の調査結果では以下の企業が対象となりました。
- Akamai Technologies: Zero Trust Security
- Check Point: Check Point Infinity Security Access
- Cisco: Duo Beyond; Tetration; SD-Access
- Cyxtera Technologies: AppGate SDP
- Forcepoint: Forcepoint Zero Trust Suite
- Forescout: The Forescout Platform
- Google: Context-Aware Access for Enterprise
- Illumio: Illumio Adaptive Security Platform
- MobileIron: MobileIron Zero Trust Platform
- Okta: Okta Identity Cloud
- Palo Alto Networks: Palo Alto Networks
- Proofpoint: Proofpoint
- Symantec: Symantec Integrated Cyber Defense
- Unisys: Unisys Stealth; Unisys Solutions Services
参考にさせていただいたサイト