ゼロトラスト・セキュリティ・アーキテクチャ:アカマイのアプローチ
この記事は、5 部構成のブログシリーズの、第5部です。
はじめに
このブログシリーズの前回で、 ゼロトラスト・セキュリティ のアーキテクチャ概念の概要について述べました。主たる概念は、ユーザーがネットワーク上のどの場所にいるかに基づいて決して信用してはならない、ということです。物理的に「内部」に位置するからといってそのユーザーまたはデバイスが信用できる、という概念はなくなります。その代わりが、ネットワークリソースにアクセスするすべてのリクエストは認証されたうえで認可される必要がある、という概念です。詳細は、第1部「イントロダクション」の記事をご覧ください。
第2部から第4部にかけては、ゼロトラスト実現にむけた3種類のアーキテクチャについて説明しています。
この記事では、クラウドのID認識プロキシ(IAP)アーキテクチャに基づく、アカマイのアプローチについて、説明します。
概要
Akamaiが最初にゼロトラスト・モデルに移行する時に始めたのは、ネットワークマイクロセグメンテーションのアプローチからでした。しかし、これが複雑で管理が難しい事がわかり、その後迅速にIAPモデルに取り組みました。これは、私達がすでに24万台を超えるサーバー上にプロキシプラットフォームを持っていたからでもありますが、それが例えば、現在必要なアプリケーションセキュリティであれ、将来必要なデータ検査とポリシー強化であれ、サービスを追加挿入するには最も拡張性の高いアーキテクチャだと考えていたからでもあります。
アカマイは、Google社のBeyond Corpモデルと同様に、自社内セキュリティにIAPアーキテクチャを採用しています。アカマイのクラウド製品であるEnterprise Application Access(EAA)は、このアーキテクチャをお客様にもご提供しています。
アカマイのゼロトラスト・アーキテクチャには、ID認証とアプリケーションへの接続に加えて、EAA上での多要素認証とシングル・サインオンも含まれています。Akamai Intelligent Platform 上で他の製品を活用することにより、エンタープライズアプリケーションのアプリケーションパフォーマンスとセキュリティを向上させ、同時に許可されていないユーザーからこれらのアプリケーションを隠しておくことができます。そしてEnterprise Threat Protector(ETP)でさらに、マルウェアやフィッシングに対するエンドユーザーの保護を強化し、ゼロトラスト・アーキテクチャを実現します。
アカマイのゼロトラスト・アプローチ
弊社が取るゼロトラストのアプローチは、規模の大きさと機能の深さにおいて、独自なものです。アカマイのプラットフォームは、認証された権限のあるユーザーにのみアプリケーションとデータを配信します。これによりトラフィックのインライン検査とログ記録が出来ます。また、エンドユーザーはマルウェアや危険ドメインへの接続、フィッシング攻撃から保護されます。
自社アプリケーションへの接続は、現代的なSaaSアプリケーションにもレガシーのデータセンターアプリケーションにもHTTPSによりセキュアにアクセス出来ます。同時に、ボットトラフィックを識別してブロック、高度な脅威対策のウェブ・アプリケーション・ファイアウォール(WAF)をシームレスに統合し、悪意のある接続者から保護されます。もちろんアプリケーションの速度と信頼性も確保されます。
EAAが採用しているIAPモデルのアプリケーション層とWebベースの機能のため、アカマイのクラウドセキュリティのソリューション一式をセキュリティ層として使用することができます。あらゆるエンタープライズ組織に適合し、そのデジタル変革のどの段階でも利用できる、ゼロトラストのフレームワークを作成します。
- Enterprise Application Access - アプリケーションアクセスをシンプルかつ安全に提供
- Enterprise Threat Protector - 悪意のあるドメインやIPへのユーザーアクセスをブロック
- Ion for Web Performance - ウェブサイトとモバイルアプリケーションの配信を高速化
- Kona Site Defender - DDoS攻撃やウェブアプリケーション攻撃からウェブサイトやAPIを保護
- Web Application Protector - ウェブアプリケーション攻撃とDDoS攻撃からウェブアセットを保護
- Bot Manager - ビジネスニーズに基づいてボットトラフィックを柔軟に管理
アカマイのゼロトラスト・アーキテクチャ
アプリケーションへのアクセスを安全に
EAAを使うと、対象のアプリケーションはクラウドかデータセンターでホストされているかに関わらず、アクセスをインターネット経由で提供出来る様になります。そして、「必要のあるものだけ許可する」原則に基づく最小権限アクセスとゼロトラストを施行することができます。認証されたユーザーおよびデバイスだけが、アクセスが許可されている内部アプリケーションにアクセスでき、インバウンドのファイアウォールポートを開いたり保守する必要はありません。EAAは、Akamai Intelligent Platform に支えられた単一のクラウドベースのサービスの中に、データパス保護、シングルサインオン、アイデンティティアクセス、アプリケーションセキュリティ、および管理の可視性と制御を統合します。そして最終的には、非公開扱いのエンタープライズアプリケーションを保護し、それらのアプリケーションとインターネットとの間にセキュリティ層を作ります。このセキュリティ層により、エンタープライズ組織のインフラストラクチャとデータを悪意のある接続者からは触れられないようにします。
EAAは、エンタープライズにIAPのメリットと拡張性を提供します。これにより、ファイアウォールには、VPNやSDPの様な外から中への許可は必要ありません。クラウドベースのサービスなので、インストールするハードウェアもありません。
IAPの他のメリットとあわせて、EAAアーキテクチャでは、アプリケーションレベルの観点から、他のゼロトラスト・ソリューションに比べて、いくつかの重要なメリットがあります。
- 世界中に分散配置された膨大な規模のプラットフォームに基づく、クラウドSaaSセキュリティサービス
- レガシーデータセンターアプリケーションのSaaS化、および、最新のWebベースのアプリケーションへ一元化されたポータル画面からアクセス可能
- (高度な脅威の防御、ウェブ・アプリケーション・ファイアウォール、ウェブパフォーマンス、ボット管理などの)従来のアカマイサービスも、サードパーティ製の高付加価値セキュリティサービスも、追加挿入が可能
ポイントツーポイントVPNを使用するSDPとは異なり、EAAにおけるウェブベースのアプリケーションはクライアントレスで利用可能です。必要なものは、HTML5準拠のウェブブラウザと、Akamai Intelligent Platformと、データセンターまたはIaaS内のリバースプロキシコンポーネント(Akamai Enterprise Connector - AEC)だけです。AECは、ローカルの管理も不要で、VPNの様なインバウンドのトンネルもポートもありません。全てAECからのアウトバウンドで通信が開始されるため、ファイアウォールのポリシーはセキュアです。ほとんどのハイパーバイザーとコンテナプラットフォーム用に、事前設定された仮想マシンが用意されており、立ち上げるだけです。AECは、TLS経由でアカマイのプラットフォームと相互認証します。ID管理については、EAAはActive DirectoryやSAML IdPなど、様々なIDデータベースとインテグレーションできます。
ユーザー認証は、必要に応じて多要素認証(MFA)を使用し、Akamai Intelligent Platformとエンタープライズ組織のIDデータベースを使用してTLS経由でブラウザを介して行います。セキュア認証されると、アカマイはユーザーのTLSセッションをアカマイのプラットフォーム上のAECとつなぎ合わせるだけで、そのユーザーにはエンタープライズネットワーク上の承認されたアプリケーションにのみアクセスを提供します。「シングルサインオン」を利用して、シームレスなアプリケーションアクセスを提供することもできます。
ファイアウォールの背後にホストされた組織のアプリケーションは、企業ネットワーク全体を公開することなく、確認されたリモートユーザーのみがアクセスできるようになります。これにより、トンネルベースのアクセスが提供する、ネットワーク上のアプリケーション間での無制限のラテラルムーブメント(横移動)が緩和されます。
アイデンティティとアクセスを超えて
弊社を差別化するカギとなる要因の1つは、このAkamai Intelligent Platformの強みで、これにより、ゼロトラスト実現のための優れた全体的アプローチが可能となり、競合他社が提供するサービスを超える拡張性が実現されます。
マルウェア、フィッシング、C&Cに関連するドメインからのユーザー保護
EAAはデータセンターやクラウドにある企業資産を保護しますが、脅威の多くは、ユーザーやシステムがインターネット上のリソースにアクセスする方法から発生します。マルウェアやフィッシング攻撃による企業への高度かつ執拗な、時としてピンポイントで行われる、標的型攻撃は爆発的に増加しています。
Enterprise Threat Protector(ETP)は、ドメインネームシステム(DNS)を使って、これらの脅威から保護するためのセキュリティレイヤーを提供します。Cloud Security Intelligence (CSI) はアカマイが毎日処理する数十億件ものDNSクエリと、Akamai Intelligent Platform上で観測される脅威トラフィックをベースにしています。脅威を研究するリサーチャーとデータサイエンティストのチームが、ビッグデータツールを使用して、悪意あるドメインやIPアドレスを検出するアルゴリズムを開発しています。アカマイのキャリアグレードのキャッシュDNSサービスとこのCSIを組み合わせることにより、ETPはクラウドベースのポリシーシステムをお客様に提供し、ユーザーが危険なサイトにアクセスしようとするのをブロックできます。脅威は「サイバーキルチェーン」の早期で阻止されるため、他のセキュリティコンポーネントで行われる対策の負荷を軽減できます。また、シグネチャベースのシステムでは処理できない既知の悪意あるドメインによる新たなゼロデイ脅威を検出できます。
ETPの詳細については、こちらをご覧ください。
パフォーマンスの向上
EAAを使うと、VPN不要で、エンタープライズアプリケーションに安全かつ簡単にアクセスできます。EAA単体は、ユーザーのアクセスをネットワーク輻輳から保護するものではありませんが、EAAをIonと統合することで、インターネット接続がよくない状況下のリモートユーザーのパフォーマンスを最適化することができます。
EAAにセキュリティサービスとパフォーマンスサービスをアドオン
セキュリティの強化
EAAを、Kona Site Defender(KSD)、Web Application Protector (WAP)、Bot Manager と統合すると、弊社のお客様に既にご愛用いただいているこれらのウェブセキュリティ製品を、より強化することができます。
内部データセンターアプリケーションの多くは、パブリック向けウェブアプリケーションの様には高いセキュリティを実装する前提で設計されていません。ですが、上記ウェブセキュリティ製品をEAAと組み合わせる事で、内部アプリケーションにパブリック向けアプリケーション並みのセキュリティ対策を提供することができます。お客様がすでに弊社のウェブセキュリティ製品をご利用になっている場合は、非常に簡単に適合出来る可能性があります。
まとめ
ほとんどのセキュリティーアーキテクチャと同様に、ゼロトラスト・ネットワークを設計する際には、様々な選択肢とオプションがあります。これらのオプションは相互排他的である必要はありません。階層型のセキュリティアプローチを伴う多層防御を中心とした戦略は、ゼロトラストを中心に構築されたスケーラブルで安全なネットワークを構築する鍵となります。
アカマイは、クラウドベースのゼロトラスト・モデルをIAPを中心に構築してきました。その理由は、セキュリティ制御、攻撃対象領域の減少、展開の容易さ、アプリケーション層アプローチからのサービスインサーション、運用と保守の容易さ、そして、アイデンティティをベースにしたセキュリティです。
アプリケーションを中心にしたクラウド提供型アプローチを採用することにより、アカマイは、エンタープライズ組織のデジタル変革、レガシーアプリケーションの近代化、クラウドファースト戦略のお手伝いをいたします。ユーザー体験やアプリケーションパフォーマンスを犠牲にすることなく、有意義で拡張性を持たせたゼロトラスト・セキュリティ導入を実現できます。
ここまで述べてきたように、アカマイのゼロトラストへのビジョンは、アプリケーションアクセスの観点を超え、インターネットリソースへの安全なアクセス、アプリケーションパフォーマンスの向上、セキュリティの強化まで、網羅しています。
ゼロトラスト・セキュリティをぜひ、ご覧ください。
