コンプライアンス遵守による接続： F5でゼロトラスト基盤を構築

国防総省は C2C の実装に取り組む中で、数多くの課題に直面しています。 差し迫った障害の 1 つは、DoDIN の規模と複雑さです。 このような大規模な企業ネットワーク全体のセキュリティを管理するには、産業用制御システム、物流プラットフォーム、運用テクノロジーなど、幅広いデバイスとシステムを監視、自動化、保護できる高度なツールが必要です。

もう一つの大きな課題は、アクセス関連の侵害が増加していることであり、信頼できるアクセス ソリューションが不可欠になっています。 攻撃者は、悪意のあるペイロードを隠すために暗号化されたトラフィックを悪用するケースが増えており、複雑さがさらに増しています。

最後に、ゼロ トラスト フレームワークの下で C2C を迅速に導入するには、既存のシステムとのシームレスな統合、堅牢な暗号化戦略、統一されたポリシーの適用が必要です。 政府機関は、ゼロ トラストの成功に必要な可視性とセキュリティの自動化を実現するために、これらのハードルを克服する必要があります。

ゼロ トラストを採用するには、デバイスの可視性、安全なアクセス、applicationの保護に対応する包括的なソリューション エコシステムが必要です。これはまさに F5 が提供するものです。 F5 の専門的な機能を活用することで、政府機関は C2C 実装の課題を克服し、さまざまな潜在的なエントリ ポイントと攻撃対象領域にわたってサイバーセキュリティ体制を成熟させることができます。

1. エンドポイント: F5 BIG-IP アクセス ポリシー マネージャ (APM) による信頼できるアプリ アクセス

アクセス制御はゼロトラストの重要な柱です。 BIG-IP APM は、クラウド環境とオンプレミス環境全体のapplications、API、データへのアクセスを簡素化し、一元化します。 最新の認証、シングル サインオン (SSO)、一貫したユーザー エクスペリエンスをすべて、F5 BIG-IP Identity Aware Proxy (IAP) による強力なセキュリティ フレームワーク内で提供します。 連邦政府機関の場合、BIG-IP APM は、カスタム警告バナーの表示、強力な認証情報のサポート、ユーザー属性のクエリによる最小限の権限アクセスの強制によって、アクセス検証を強化します。

さらに、BIG-IP APM は高度なクライアント整合性チェックを提供し、ホスト ベース セキュリティ システム (HBSS) などの政府セキュリティ標準に対するエンドポイントの準拠を保証し、政府提供機器 (GFE) の使用を検証します。 この包括的なアプローチにより、機関は不正アクセスから保護し、C2C イニシアチブ 1 の重要な側面であるエンドポイント セキュリティを向上させることができます。

Identity Aware Proxy (IAP) は、ゼロ トラスト アプリ アクセスを提供することで、VPN の必要性を減らすように設計されています。 これはリバース プロキシとして機能し、ブラウザー拡張機能が含まれる場合もありますが、それ以外はクライアントレスです。 IAP を使用すると、すべてのapplicationsへのアクセスをきめ細かく制御でき、管理対象デバイスと管理対象外デバイスの両方をサポートします。 これは単なるレイヤー 7 ACL ではなく、コンテキストに基づいてアクセスを許可または拒否するために外部ツールと統合できるきめ細かな制御です。

IAP は、最新の認証方法と従来の認証方法を橋渡しし、従来の認証 (ヘッダーベースなど)、OAuth 2.0、SAML 2.0、FIDO2 (U2F) 用の多要素認証 (MFA) と SSO をサポートします。 クラス最高のアプリごとの SSL、VPN、ゼロ トラスト アプリ アクセスを提供し、すべてのアプリを単一の画面で管理できます。 Microsoft のコンプライアンス取得サービス (Microsoft Intune MDM) との統合と Microsoft Graph API のサポートにより、機能がさらに強化されます。

2. アイデンティティサービスと統合パートナーシップ

ゼロ トラストは ID 検証に根ざしており、F5 ソリューションは Microsoft、Okta、Ping などの信頼できるプロバイダーとシームレスに統合されます。 このパートナーシップにより、ミッションクリティカルなapplications、SaaS プラットフォーム、クラウドベースのサービスに対する ID サービスが強化され、統一された安全なユーザー エクスペリエンスが実現します。 F5 は、多様な環境間での ID ギャップを埋めることで、各機関が強力かつスケーラブルなゼロ トラスト機能を維持できるようにします。

F5 BIG-IP は、VMware Horizon ONE (AirWatch)、Microsoft Intune、IBM MaaS360 などの主要なモバイル デバイス管理 (MDM) およびエンタープライズ モビリティ管理 (EMM) ソリューションと統合されます。

実装のために、F5 はこれらの MDM プラットフォームとの詳細な統合を可能にする API と構成オプションを提供し、準拠した管理対象デバイスのみが Identity Aware Proxy 機能を通じて企業リソースにアクセスできるようにします。 F5 統合により、次のことが実現されます。

• リソースへのアクセスを許可する前に、MDMソリューションからデバイスのコンプライアンスステータスをチェックして、デバイスの姿勢を評価します。
• モバイルデバイス登録のリアルタイム検証
• MDMプラットフォームが提供するアクセスポリシーの適用
• エンドツーエンドのポリシーと管理制御

AirWatch、MaaS360、Intune などの MDM と統合する場合、エッジ クライアントは BIG-IP APM との VPN 接続を確立し、エンドポイント管理システムがデバイスの詳細を管理して BIG-IP APM に送信します。

3. applications: ミッションクリティカルなアプリのためのレイヤー7セキュリティ

組織が何百ものapplicationsを管理する場合、アプリケーション層のセキュリティはこれまで以上に重要になります。 F5 は、レイヤー 7 分散型サービス拒否 (DDoS) 攻撃、API 攻撃、資格情報ベースのエクスプロイトなどのさまざまな脅威から保護する高度なWebapplicationファイアウォール (WAF)ソリューションを提供します。 行動分析は、アプリが健全かつ安全な状態を維持するために継続的に適用され、ミッションクリティカルなアプリケーションとクラウドベースのapplicationsの両方を保護することで、機関のゼロトラスト戦略をサポートします。

4. ネットワーク インフラストラクチャ: 暗号化されたトラフィックの保護

SSL/TLS 暗号化が標準となるにつれ、悪意のある攻撃者は攻撃を隠すためにこれを頻繁に利用します。 これに対処するために、F5 はトラフィックを復号化/暗号化し、盲点を排除し、セキュリティ チェーン全体にわたってポリシーベースのオーケストレーションを適用するSSL 可視性ソリューションを提供しています。 F5 は、受信および送信の暗号化トラフィックを保護することで、脅威がセキュリティ制御を迂回するのを防ぎながら、機関の可視性を高めることを可能にします。これは、C2C とゼロ トラストの目標に完全に一致しています。