ゼロトラストという言葉を聞く機会も増えてきました。
「ゼロトラスト」というキーワードは、言葉としても意味が分かりやすい一方、色々な視点での解釈があるため、
同じゼロトラストソリューションでも、MFA、SWG、EDRなど様々なソリューションがあります。
今日は、ゼロトラストの元祖でもあるNIST(アメリカ国立標準技術研究所)のレポート
”NIST Special Publication 800-207” のZero Trust Architecture に沿って、ネットワークの観点でのゼロトラストのアプローチを紹介します。
レポートの詳細は以下の原文をご参照下さい。
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdfアーキテクチャの概要は以下のようなイメージになります。
Control PlaneにあるPDPがポリシーを決め、Data PlaneにあるPEPがそのポリシーに従い、
UntrustedのSystem(端末)がTrustedにあるリソースにアクセスできるようになります。
Zero Trust なので、全ての端末はUntrustedにある前提で、ポリシーで許可した端末だけ通信を許可させるイメージです。
少しわかりにくいかもしれませんが、上記のアーキテクチャをネットワーク製品(Aruba製品)で置き換えて考えてみると、
以下の図のようになります。
ClearPass認証サーバがPDPとしてポリシーを制御し、Mobility Gateway(Mobility Controller)がPEPとしてネットワークのRBACを提供します。
PEPの部分は、ネットワークのRBAC(アクセス制御)だけであれば、IAPやAruba Switchが担うことが可能です。
内外からの攻撃をブロックするファイアウォールとしてのMobility GatewayこのMobility GatewayはZero Trustのアーキテクチャの中では大きな役割を担うことができます。
ArubaのMobility Gatewayは、ステートフルファイアウォールの機能を持っています。
これは、一般的なファイアウォールと同レベルのファイアウォールの機能で、端末通信のセッションを認識して制御することができます。
つまり、意図しない通信は全てデフォルトでブロックするため、Mobility Gateway とAP, Switch がトンネル接続していれば、
外部からの攻撃をMobility Gatewayが防いでくれます。
ここで、外部からの攻撃というのは、Mobility Gatewayの外部ということなので、
実際には社内の他のネットワークからの攻撃を防ぐことができます。
残念ながら、昨今の企業ネットワークでは、脅威は既に侵入している前提でセキュリティ対策を考えることが重要になっています。
ゼロトラストの考え方も、内部の端末であっても無条件に信頼しないことと繋がります。
従来のネットワーク構成で、内部からの攻撃を防ごうとすると、内部ネットワークにも境界ポイントを設けて、
そこにファイアウォールの設置が必要になってしまいます。
ArubaのMobility Gatewayがあれば、追加で内部にファイアウォールを設置することなく、内部からの攻撃を防ぐことができます。
このMobility Gateway は無線LANコントローラに加え、ファイアウォールとしても、
NIAP(アメリカの国家情報保証パートナーシップ)による IT セキュリティー評価のコモン・クライテリアへの準拠が認証されています。
https://www.niap-ccevs.org/Product/Compliant.cfm?PID=11110認証後の端末もインシデント発生時に速やかに隔離ClearPass (PDP) によるポリシーの適用は、ネットワークアクセス時(認証時)の一度きりではありません。
通常の認証サーバであれば、認証時にユーザや端末の属性値にもとずいて、ネットワークアクセスを許可・拒否するだけです。
ClearPass はRADIUS CoA (Change of Authorization) に対応しているため、
なんらかのインシデントをトリガーに、アクセスポリシーを変更するようMobility GatewayやAP, Switchに対して
RADIUS CoA でポリシー変更を指示することができます。
ClearPassは多くのAPIで3rd Partyのセキュリティ製品と連携することができるので、
外部のセキュリティ製品がインシデントを検知した時に、上記のように端末のアクセスポリシーを変更し、
ネットワークから隔離するようなこともできるようになっています。
以下は、UTMのIPS/IDSやSandboxとの連携例です。
Paloalto との連携については、デモ動画もあるので
こちらもご参照下さい。
他にも、ネットワークのRBAC、ダイナミックセグメンテーション、カラーレスポートなどの機能も使い、
ゼロトラストのネットワークセキュリティを、より強固にすることができます。
ダイナミックセグメンテーション、カラーレスポートについてはこちらでも少し紹介しています。
ペンタゴンが採用したカラーレスポートって?RBACについて(ArubaのRoleについて)は
こちらです。
ネットワークのゼロトラストを実装して、安心安全にネットワークを利用しましょう。
#Blog #Security #ClearPass
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------