ジュニパーが128テクノロジー買収の完了を発表

ブログ:ゼロトラストセキュリティはどこにでもある

128テクノロジー
December 4, 2018

「あなたが妄想的であるからといって、彼らがあなたを追いかけていないという意味ではありません。」 –ジョセフ・ヘラー

この引用 キャッチ22 脅威が既知と未知の両方であり、友好的で悪意のあるソースから発生する世界に適応するための知恵(および不条理)を強調しています。 ただし、これは優れたアドバイスであり、最新のInfoSecプラクティス、特に「ゼロトラストセキュリティ」の概念にうまく変換されます。 数年前にForresterを起源として、 ゼロトラストセキュリティアプローチ 信頼できるものの概念を廃止します。CISOからの電子メールであっても、ユーザー、トラフィックソース、または接続されたネットワークを疑わしいと見なしてはなりません。

固有のネットワークセキュリティ

128 Technologyでは、Zero Trust Securityは採用されなければならない哲学であり、ネットワーク全体に組み込まれなければならないアプローチであると信じています。 明確にするために、これはボルト締めを意味するものではありません スタンドアロンのセキュリティデバイス ネットワーク全体–つまり ネットワーク自体のファブリックにセキュリティを注入する。 では、ゼロトラストセキュリティアプローチをどのように採用しますか?

かどうか ソフトウェア定義のWAN (SD-WAN)またはソフトウェア定義データセンター(SDDC)の場合、今日の脅威の状況では、分離、セグメンテーション、負荷分散、ファイアウォール機能を、セキュリティを中核として構築されたネットワークにシームレスに統合することが不可欠です。 デフォルトの動作では、これらのセキュリティ制御を処理して、アプリケーションとサービスの言語であるセッションに適用します。 セッション対応テクノロジーは、ネットワークとそれらが提供するアプリケーションの間のギャップを埋め、 本質的にネットワークに統合されるセキュリティ機能.

ゼロトラストセキュリティモデルを採用し、ネットワークが今日のデータ主導の状況で競争しようとしている今日のビジネスをサポートできるようにするために、それは特定の指針に従うことによってのみ達成できると信じています。

ネットワークセキュリティ図

ゼロトラストセキュリティの指導原則

今日のネットワークは、日常的に見出しをつける高度なサイバー攻撃には適さない、境界ベースのセキュリティアーキテクチャで設計されています。 ネットワークをビジネスの速度に引き上げ、ゼロトラストセキュリティモデルを完全に実装するために、採用する必要がある特定の指針原則があります。 これらの原則と、なぜそれが必要なのかは次のとおりです。

デフォルトで拒否:

従来のネットワークでは、デフォルトの許可ポリシーは、制御なしでネットワーク全体にパケットを転送します。 deny-by-defaultポリシーに移行することにより、ネットワークの全体的な役割は、すべてのパケットのトランスポートから、安全で適切に暗号化され、ビジネスクリティカルであることが検証されたパケットのみのトランスポートに移行します。 ネットワーク内のパケットフローのこの厳格​​な制御は非常に強力であり、ネットワーク攻撃を制限し、場合によっては完全に排除することができます。

分散ステートフルファイアウォール:

ほとんどの企業は、ネットワークのさまざまなセグメントへのアクセスを制御するためにACLとVLANに大きく依存している、ネットワークのエッジにあるスタンドアロンのファイアウォールデバイスに依拠しています。 ネットワークトラフィックが増加すると、ファイアウォールACLルールが管理不能になり、エラーが発生しやすくなり、企業がさまざまなネットワーク攻撃にさらされることになります。 セッション対応ファイアウォールでは、アクセス制御はテナント内のサービスに関連付けられています。 したがって、テナントのメンバーのみがそのサービスにアクセスできるため、高いセキュリティ基準を維持しながら、構成の複雑さを最小限に抑えることができます。 その結果、コンテキスト固有でサービスに関連するアクセス制御ルールが得られ、グローバルACLリストやエラーが発生しやすい設定が不要になります。

ホップバイホップ認証:

Zero Trust Securityの主要な要件の128つは、ポリシーベースのルーター間トラフィックの暗号化と認証をサポートすることです。 256Tルーター間のすべてのパケット交換は、デフォルトでそれぞれHMAC-SHA128-256とAES128を使用して認証および暗号化されます。 フローセットアッププロセスの一部として、256Tシステムは最初のパケットでメタデータを交換し、交換されたメタデータはHMAC-SHA128-256を使用して署名されるか、AESXNUMXを使用して暗号化されます。

ルートの方向性:

IPネットワーク上の正当なトラフィックのほとんどには、順方向と逆方向のXNUMXつのフローで構成される双方向に流れるパケットがあります。 従来のスイッチングおよびルーティングインフラストラクチャでは、フォワードフローとリバースフローがネットワークを介して非対称のパスをとることがあります。 セッション対応ネットワークでは、ルートは、特定のセッションを構成するXNUMXつの単方向フローを自動的に含む方向性セッションの観点から表現できます。 これにより、ルーターとステートフルファイアウォールの機能がXNUMXつの機能に統合され、ネットワークが簡素化されてセキュリティが向上します。

一元化されたポリシー管理:

従来のファイアウォールデバイスでは、ネットワークの成長に伴い、ポリシーの管理が困難になります。 128Tルーターは、集中管理されたポリシー管理、管理、プロビジョニング、監視、および分析を、ネットワークで実行されているすべてのルーターに対して単一の「ガラス窓」ビューで提供します。 サービスレベルのポリシー適用により、ポリシーをコンテキスト固有にして、すべてのルーターにグローバルに適用し、瞬時に包括的なセキュリティを確保できます。

DNAのセキュリティ

ゼロトラストセキュリティモデルを採用することにより、セキュリティはネットワークのDNAの一部になり、ネットワークを通過する機密情報を保護するための強度とインテリジェンスで変換されます。 あなたのネットワークは、進化する脅威の状況から身を守るための最良の武器であり、ビジネスにサービスを提供することに関しては最強の味方です。

ネットワークとデータのセキュリティ保護に関する次のブログ投稿まで、ゼロトラストセキュリティネットワークアーキテクチャに関するForresterのペーパーからの次の引用を検討してください。

ネットワークを再考するには、ネットワークがどうあるべきかについて先入観を捨て、ネットワークが何であるかについて考える意欲が必要です。 

-

このブログは8年2016月4日に最初に投稿されました。更新され、2018年XNUMX月XNUMX日に再公開されました。改訂された投稿をお楽しみください。