2022年8月18日
ビシュワス・マンラル - 技術者兼クラウド・ネイティブ・セキュリティ部門責任者、Skyhigh Security
Zero Trust Network Access (ZTNA)とは何か、VPNとの比較について、多くの神話を耳にする。その中には真実もあれば、真実からかけ離れたものもある。私はIPsec/ ADVPNやMPLSのようなVPNやセキュリティ技術のコアとなるものの周りの標準を書いたので、私はこの技術をもう少し掘り下げて、いくつかの神話を崩壊させることにした。
その核心に迫ってみよう - ZTNA vs VPN - 両者の事実と虚構は何か?ZTNAとVPNの類似点と相違点を深く掘り下げてみましょう。
ZTNAは、攻撃対象領域を大幅に縮小し、横方向の移動を防止します。今回のシスコへの攻撃に見られるように、攻撃者が横方向の動きを効果的に利用した場合、セキュリティチームがそれを検出するのは非常に困難であり、そのためZTNAが非常に重要になる。
仮想私設通信網
VPNとは、Virtual Private Networksの略です。VPNは、プライベートなネットワークを公共のインターネット・ネットワーク上に拡張します。ネットワークは、データリンク(レイヤー2またはイーサネット)層、インターネット(レイヤー3またはIP)層、またはトンネル上のトランスポート(レイヤー4またはTCP)層で接続することができます。例として、2つのサイト間にレイヤー2VPNがある場合、サイトは公衆インターネット上で同じIPサブネットを共有することができます。このため、攻撃対象が大きくなり、サービスが脆弱になります。リモートアクセスVPNは、VPNのユースケースの1つで、リモートユーザーが企業内のデバイスを使って、VPN経由で企業ネットワークやアプリケーションに接続します。
ゼットエヌエー
Zero Trust Network Access (ZTNA)は、ユーザーがアプリケーションと接続できるようにすることで、リモートアクセスVPNに最小特権(Zero Trust)モデルを構築する。ZTNAはセキュリティ・ブローカーを通じてアプリケーションへのアクセスを提供し、アプリケーションはブローカーなしでは発見できなくなります。ZTNAでは、ユーザーとアプリケーション間の接続はアプリケーション(レイヤー7)レイヤーで行われ、ユーザーはデバイス、ユーザー、アプリケーションのコンテキストに基づいて、アプリケーションのみにアクセスできます。さらに、ブローカーはアプリケーションに到達する前にすべてのトラフィックを検査し、セキュアにすることができます。
厳しい質問をする:ZTNAとVPNに関する一般的な神話
ZTNAとゼロトラストは同じですか?
ゼロ・トラストは、「常に検証してから信頼する」ことを基本とする一連のアーキテクチャーの原則です。ZTNAは、Zero Trustの最初のユースケースです。これは、ゼロ・トラストの原則をリモートアクセスVPNのユースケースに適用したものです。Zero Trustは「どのように」であり、ZTNAは「何を」であるかということです。現在、データ・アクセス、アプリケーション・アクセスなど、ゼロ・トラストのユースケースは数多くあります。
ZTNAはVPNよりもリモートアクセスに向いていますか?
その理由は明白です。ZTNAは、より優れたセキュリティ、容易なスケールアウト、スムーズなオンボーディングと管理性を提供します。リモートワークの増加に伴い、クラウドで提供されるZTNAのソリューションは、より簡単に拡張することができます。
VPNはすぐに消滅し、VPNの他の使用例はないのだろうか?
VPNには、さまざまな使用例があります。例えば、Evesドロップの防止、Site to Site VPN、匿名ダウンロード、その他リモートアクセス以外のVPNユースケースなどがあり、ZTNAはそれらを置き換えるものではありません。VPNソリューションは、一般的に物理的または仮想的なアプライアンスとして提供され、スケールアウトするのが困難です。
ZTNAのセキュリティ・アルゴリズムはVPNより安全か?
VPNでもZTNAでも、同じ暗号化、鍵生成、認証アルゴリズムを使用することができます。実際の実装に違いはあっても、技術的な違いはありません。
ZTNAは、VPNと同じように、接続性、セキュアなトンネル、ネットワーク制御がメインなのでは?
ZTNAはVPNの代替品としてスタートしましたが、IDに基づくネットワーク中心の制御をはるかに超えるものです。ZTNAは、よりデータおよびセキュリティ中心になってきています。ZTNAでは、DLPポリシーをすべての送信ファイルに適用して、悪意や不注意によるデータ漏えいを防ぐことができます。
VPNと同じように、ZTNAもZTNAクライアントを必要としますか?
いいえ、ZTNAはクライアントレスでサポートすることができ、必ずしもエージェントは必要ではありません。Webアプリケーションの場合、ZTNAはブラウザのネイティブ機能やプラグインを使用して、エンドユーザーのための安全な接続を実現できます。
ZTNAとVPNソリューションに関して、奇妙な誤解や誤った主張を耳にすることがありますが、これらのソリューションが何を達成するのか、より詳しく見てみるのもよいのではないでしょうか。ZTNAとVPNに関する神話を打ち破るために、私がお役に立てたなら幸いです!
ブログへ戻る