ゼロトラスト・セキュリティ・アーキテクチャ:ID認識型プロキシ
この記事は、5 部構成のブログシリーズの、第4部です。
はじめに
このブログシリーズの前回で、 ゼロトラスト・セキュリティ のアーキテクチャ概念の概要について述べました。主たる概念は、ユーザーがネットワーク上の「どの場所にいるか」に基づいて信用してはならない、ということです。「内部」に位置するからといってそのユーザーまたはデバイスが信用できる、という概念はなくなります。その代わりが、ネットワークリソースにアクセスするすべてのリクエストは認証認可されたうえで許可される必要がある、という概念です。詳細は、 第1部の「イントロダクション」の記事 をご覧ください。
この回では、「ID認識型プロキシ(IAP)」として知られているゼロトラスト・アプローチをお話します。このモデルは、ネットワーク層ではなく、アプリケーション層におけるアイデンティティとアクセスに焦点を当てており、その機能はクラウドから提供されます。
ID認証型プロキシ(IAP)
IAPアーキテクチャは、クラウドベースのプロキシ経由でアプリケーションアクセスを提供します。IDの認証、認可はクラウド上で発生します。SDP同様「必要のあるものだけ許可する」の最小権限に基づいていますが、アプリケーション層(レイヤ7)で標準のHTTPSプロトコルを使って、アプリケーションにアクセスされます。ゲートウェイにダイレクトトンネルを確率するSDPとは異なり、このアーキテクチャは、プロキシレイヤを使用して特定のアプリケーションへの、認証認可された安全なアクセスを提供します。前に述べたように、Google社はBeyondCorp用にIAPを使って、自社のアクセス課題を解決しましたが、弊社アカマイのゼロトラストモデルでも、IAPを使用しています。
このプロキシサーバを使った仕組みでは、ユーザーが認証されるだけでなく、アプリケーション要求の検査と認可も可能です。また、IAPはアプリケーションレベルのアクセス制御に依存していますので、設定されたポリシーは、ポートやIPだけでなく、ユーザーやアプリケーションの意図を反映することができます。また、Webアプリケーションの利用は完全な「クライアントレス」で可能です。
IAPの重要なコンポーネントは、信頼されたIDソースです。これは、「ユーザーとデバイスが誰か(認証)」と、「何にアクセスできるのか(認可)」を確認するために使用されます。このアイデンティティソースのベースとなるのは、社内ディレクトリ(Active Directory、LDAP)でも、クラウドベースのアイデンティティプロバイダー(IdP)でも、可能です。ユーザー認証以前に、デバイスのセキュリティチェックを行う事も可能です。アクセスしようとしているデバイスが証明書、最新のOS、パスワードで保護されていること、適切なウイルス対策ソフトウェアがインストールされていること等、必要な基準を満たしていることを確認することができます。
ID認識プロキシのアーキテクチャ
さらに、組織のクラウド導入が増加するにつれて、アプリケーションをクラウドに移行するという課題が、多くの作業無しには実現できないということも認識されつつあります。多くの組織では、クラウドネイティブのアプリケーションと、クラウド上で運用するとは想像だにしなかった従来型アプリケーションの両方に対し、クラウドを活用しようと苦闘しています。IAPは、ネイティブSaaSアプリケーションのユーザー認証に使えるだけでなく、データセンターのレガシーアプリケーションを本質的に「SaaS化」するためにも使用できます。プロキシのアプローチを取ることにより、「完全な置き換え」戦略という最終手段を取らなくとも、クラウド移行とアプリ近代化が促進されます。エンタープライズ組織は、ゼロトラストに向けてより系統的なステップバイステップのアプローチを取ることにより、従来型の境界ベースの制御やVPNによる技術的負債を軽減することができます。
まとめ
ほとんどのセキュリティーアーキテクチャと同様に、ゼロトラスト・ネットワークを設計する際には、様々な選択肢とオプションがあり、これらの選択肢は排他的である必要はありません。階層型のセキュリティアプローチを伴う多層防御を中心とした戦略は、ゼロトラストを中心に構築されたスケーラブルで安全なネットワークを構築する鍵となります。
これらの3つのアーキテクチャのそれぞれの概要を知ることは、セキュリティロードマップの策定に取り組んでいる組織にとって有益だと思います。この記事では、IAP というアプローチについて説明しました。他の2つのアーキテクチャについて説明する記事はこちらをご覧ください。
