Zero Trust Network Access (ZTNA) とは?
ZTNAの一般的なユースケース
- プライベートアプリケーションへのリモートアクセスを保護する
組織がビジネスに不可欠なアプリケーションを複数のクラウド環境に移行し、シームレスなコラボレーションを実現するにつれて、アプリケーションアクセスを保護し、データ漏洩を防ぐために、接続する各デバイスを監視するという特定の課題に直面しています。ZTNAは、あらゆる場所やデバイスからプライベートアプリケーションへの適応型でコンテキストを認識したアクセスを可能にします。アプリケーションへのアクセスは、明示的に許可されない限り、デフォルトで拒否されます。アプリケーションアクセスのコンテキストには、ユーザーID、デバイスの種類、ユーザーの場所、デバイスのセキュリティポスチャなどが含まれる場合があります。 - VPNおよびMPLS接続の置き換え
VPNアーキテクチャは、クラウドファーストの導入において、速度が遅く、非生産的です。ソフトウェアとハードウェアに依存するVPNを介してすべてのリモートユーザーアクセスを保護すると、設備投資と帯域幅のコストが増加する可能性があります。ZTNAは、企業リソースへの高速なダイレクト・トゥ・クラウドアクセスを提供し、ネットワークの複雑さ、コスト、遅延を削減するとともに、リモートワークフォースの展開を促進するためにパフォーマンスを大幅に向上させます。 - ユーザーアクセスの制限
従来のセキュリティソリューションの広範な境界ベースのセキュリティアプローチは、有効なログインキーを持つすべてのユーザーに完全なネットワークアクセスを許可し、機密性の高い企業リソースを侵害されたアカウントや内部脅威に過度にさらします。基盤となるネットワーク全体にアクセスしたハッカーは、内部システム内を検知されずに自由に移動できます。ZTNAは、最小特権の制御されたアクセスを実装し、「知る必要性」に基づいて特定のアプリケーションへのユーザーアクセスを厳密に制限します。すべての接続要求は、内部リソースへのアクセスを許可する前に検証されます。
ZTNAの利点
ネットワークのマイクロセグメンテーション
ZTNAは、組織がソフトウェア定義の境界を作成し、企業ネットワークを複数のマイクロセグメントに分割することを可能にし、脅威の水平移動を防ぎ、侵害が発生した場合の攻撃対象領域を削減します。
インターネット上でのアプリケーションの不可視化
ZTNAは仮想ダークネットを作成し、公衆インターネット上でのアプリケーションの発見を防ぎ、インターネットベースのデータ漏洩、マルウェア、DDoS攻撃から組織を保護します。
レガシーアプリケーションへのアクセスの保護
ZTNAは、プライベートデータセンターでホストされているレガシーアプリケーションにもその利点を拡張でき、安全な接続を促進し、Webアプリケーションと同じレベルのセキュリティ上の利点を提供します。
ユーザーエクスペリエンスの向上
ZTNAは、プライベートアプリケーションへの安全で高速、中断のないダイレクトクラウドアクセスを可能にし、SaaSアプリケーションとプライベートアプリケーションの両方にアクセスするリモートユーザーに一貫したエクスペリエンスを提供します。
VPNとZTNAの違いは何ですか?
ネットワークレベルのアクセス対アプリケーションレベルのアクセス: VPNは、有効なログインキーを持つすべてのユーザーに完全なプライベートネットワークアクセスを許可します。ZTNAは、ユーザーアクセスを特定のアプリケーションに制限し、サイバー攻撃が発生した場合のデータ漏洩と脅威の水平移動を制限します。
ユーザーアクティビティの詳細な可視性: VPNはアプリケーションレベルの制御を欠いており、プライベートネットワーク内に入った後のユーザーの行動に対する可視性がありません。ZTNAはすべてのユーザーアクションをログに記録し、ユーザーの行動とリスクに対するより深い可視性と監視を提供することで、アプリケーション内の機密コンテンツを保護するための情報に基づいたデータ中心の制御を強制します。ログはSIEMツールに供給され、ユーザーアクティビティと脅威に対するリアルタイムかつ一元的な可視性を提供できます。ZTNAはさらにエンドポイントセキュリティソリューションと統合され、デバイスのセキュリティポスチャの継続的な評価に基づいて適応型アクセスを許可できます。
エンドポイントの姿勢評価: VPN接続は、エンドユーザーデバイスがもたらすリスクを考慮しません。侵害された、またはマルウェアに感染したデバイスは、簡単にサーバーに接続し、内部リソースにアクセスできます。ZTNAは、接続デバイスのセキュリティ姿勢を検証することで継続的な評価を実行し、その時点で必要とされるデバイスの信頼度に基づいてリソースへの適応型アクセスを可能にします。リスクが検出されると、デバイス接続は直ちに終了されます。
ユーザーエクスペリエンス: VPNは、ますます分散化するワークフォースのシナリオに対応するように設計されていません。すべてのユーザー接続を集中型VPNハブを介してバックホールすると、帯域幅とパフォーマンスの問題が発生し、ユーザーエクスペリエンスが低下します。ZTNAを使用すると、ユーザーはアプリケーションへの直接接続を確立でき、IaaS環境またはプライベートデータセンターでホストされている企業リソースへの高速かつ安全なアクセスを可能にし、俊敏でスケーラブルなクラウド展開を促進します。
コスト削減: ZTNAは、高価なVPNハードウェアを調達し、各データセンターで複雑なインフラストラクチャ設定を管理する必要性を排除します。さらに、リモートユーザーは安全な接続を確立するために、追加のリソースを大量に消費するVPNクライアントを必要としません。
ZTNAはどのように機能しますか?
プライベートアプリケーションと同じ顧客ネットワークにインストールされたコネクタソフトウェアは、セキュアな暗号化されたトンネルを介して、クラウド上でホストされているサービス(またはブローカー)へのアウトバウンド接続を確立します。このサービスは、顧客ネットワークへのプライベートトラフィックの出口点であり、主に以下の役割を担います。
- 接続するユーザーを検証し、IDプロバイダーを介してそのIDを認証すること。
- ユーザーデバイスのセキュリティポスチャを検証すること。
- セキュアなトンネルを介して特定のアプリケーションへのアクセスをプロビジョニングすること。
ZTNAサービスへのアウトバウンド、つまり「インサイドアウト」接続により、組織はアプリケーションアクセス用にインバウンドファイアウォールポートを開く必要がなく、公衆インターネット上での直接的な露出から保護され、DDoS、マルウェア、その他のオンライン攻撃から安全になります。
ZTNAは、管理対象デバイスと非管理対象デバイスの両方に対応できます。管理対象デバイスは、企業所有のクライアントまたはエージェントがデバイスにインストールされるクライアントベースのアプローチに従います。クライアントは、デバイス情報を取得し、その詳細をZTNAサービスと共有する役割を担います。ユーザーIDとデバイスのセキュリティポスチャの検証に基づいて、アプリケーションとの接続が確立されます。
非管理対象デバイスは、クライアントレスまたはリバースプロキシベースのアプローチに従います。これらのデバイスは、認証とアプリケーションアクセスを目的として、ブラウザで開始されたセッションを介してZTNAサービスに接続します。これは、サードパーティユーザー、パートナー、および個人用またはBYOデバイスを介して接続する従業員にとって魅力的な選択肢となりますが、クライアントレスZTNAの展開は、RDP、SSH、VNC、HTTPなど、ウェブブラウザでサポートされるアプリケーションプロトコルに限定されます。
Skyhigh Private Accessのご紹介
Skyhigh Private Access は、あらゆる場所とデバイスからプライベートアプリケーションへのきめ細かな「ゼロトラスト」アクセスを可能にし、ZTNAを介したデータコラボレーションを保護するための統合されたData Loss Prevention (DLP) 機能を提供する、業界初のデータ認識型ソリューションです。
