前回、SASEとSASEでの対応が難しいIoTセキュリティについて解説しました。
今回はさらに深掘りして、Edgeネットワークの中のセキュリティについて考えてみます。
SASEの概念はクラウド活用とそれに伴うクラウドセキュリティにはとても合致し、マーケットの注目度も高くなっていますが、Edge内のセキュリティについても改めて考慮すべき時期だと思います。
理由は、ランサムウェアの用に、社内LANに侵入し、その中で増殖を続けるような攻撃がいっこうに減らず、むしろ増加傾向にあるからです。
ランサムウェアの被害は、ニュースでも多く取り上げられていましたが、IPAの「
情報セキュリティ10大脅威 2021」の中でも去年の5位から1位になっています。
多層防御セキュリティ対策の1番の鉄則は多層防御です。
残念ながら、これを実装したから大丈夫といった、単一のソリューションは存在しないので、必要な箇所に多層でしっかりとリソースを守る必要があります。
その多層防御の中で、Edgeのセキュリティは最後の砦と言っても良いかもしれません。
ゼロトラストネットワークアクセス(ZTNA)Edgeセキュリティを考える時、一言で丸めてしまうと、ゼロトラストの考え方です。
実はZTNA(Zero Trust Network Access)自体がGartnerのSASEには含まれているのですが、それをEdgeの中にまで拡張してしっかり考えて見ましょう。
ゼロトラストの原則をEdgeネットワークに当てはめて考えてみると、以下の3点に集約できます。
1. 明示的に確認:ネットワークアクセス時の認証、認可、MFAを実施する
2. 最小限のアクセス:認証、認可の情報を元にアクセス制御を行う
3. 脅威は内部に:内部の脅威を発見した時は速やかに脅威を隔離する
ネットワークのRBACRBAC=Role Base Access Control、ロールベースのアクセス制御のことです。
RBACはアプリケーションではよく言われていることで、必要な人にだけ必要なリソースへアクセス可能な権限を与えることを意味します。
参考:Azure ロールベースのアクセス制御 (Azure RBAC) とはゼロトラストの#1と#2を実装すると言うことは、ネットワークレイヤでもRBACを実装すると言うこととほとんど同義です。
ネットワークアクセス時に認証を行い、認可情報を元にアクセス先を制限することで、
万が一にマルウェアが内部に侵入したとしても、その影響範囲を最小限に留めることができます。
長らく、ネットワークのアクセス制御はVLANベースで行っていましたが、無線LANなど端末が移動することが前提になると、この固定されたVLANベースの制御は困難になってきています。また、一人のユーザが複数の端末を使ったり、BYODの活用が当たり前の様になっているので、
誰が、どの端末で、いつ、どこから、どの様にアクセスしているのかといった、ユーザのコンテキスト情報を元に適切なアクセス制御を行うことが求められます。
ArubaのClearPass認証サーバは、これらコンテキストを収集し、ネットワークの認証・認可で利用することができます。さらに、ArubaのSwitchや無線AP、GatewayはRBACをサポートしているので、これらを組み合わせることで手軽にネットワークのRBACを実現することができます。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------