ブログ

アプリケーション中心の世界におけるゼロトラスト

F5 サムネイル
F5
2020年5月19日公開

ゼロ トラストは、ビジネスのスピードアップとセキュリティ強化に役立つ強力な戦略です。 これは新しい概念ではないにもかかわらず、近年多くの注目を集めています。 これは、特に世界中の企業が COVID-19 危機の際にどのように事業を運営し、対応するかを模索している今日、これまで以上に関連性が高く重要な概念です。 ゼロ トラストは、最近のAgility 基調講演のテーマであり、デジタル変革の取り組みを加速させるすべての組織にとって理解を深める上で重要な概念です。

従来のネットワーク境界のセキュリティ保護 (いわゆる「堀と城のアプローチ」) だけではもはや十分ではありません。 マルチクラウドに展開されるアプリケーションの増加とモバイルワーカーの増加により、ネットワーク境界はほぼ消滅しました。

ゼロ トラストは、定義された境界内の信頼できるネットワークという概念を排除します。 現在、最小限の権限のユーザー アクセスを適用してそれを可能な限り精査し、攻撃者がすでにネットワーク上にいて隠れていると想定し、制御ポイントからより多くのコンテキストと可視性を取得する必要があります。 ゼロ トラストを実現するには、組織は「信頼するが検証する」アプローチを放棄し、次の 3 つの原則に従う必要があります。

  • 決して信じない
  • 常に確認する
  • 継続的に監視

ゼロ トラストに必要なものすべてを提供できるベンダーはありませんが、F5 は堅牢なアプリケーション セキュリティ ポートフォリオで付加価値を提供し、ゼロ トラスト アーキテクチャの 4 つの主要な制御ポイントを保護できます。 具体的には:

  • アプリケーションにアクセスするエンドポイント: 当社の信頼できるアプリ アクセスソリューションは、すべてのアプリに最新の認証を提供します。
  • ネットワーク インフラストラクチャ: ネットワークの保護に役立つアプリケーション インフラストラクチャ セキュリティソリューションがあります。
  • アプリケーション (アプリがクラウド、オンプレミス、SaaS ベース、または完全に管理されているかどうかに関係なく): アプリケーションまたはその近くでセキュリティを提供し、アプリケーション スタック (レイヤー 4 から 7) を保護するアプリケーション レイヤー セキュリティソリューションを提供します。
  • アイデンティティサービス: 当社はMicrosoftOktaPingと緊密なパートナーシップを結んでいます。 当社の信頼できるアプリ アクセス ソリューションをこれらの Identity-as-a-Service (IDaaS) プロバイダーと統合することで、クラウドベース、SaaS、ミッション クリティカル、カスタム アプリケーション間の ID ギャップを埋め、ユーザーに統一された安全なアクセス エクスペリエンスを提供できます。

F5 が、次の 3 つの F5 セキュリティ ソリューションを使用してゼロ トラスト モデルの導入を具体的にどのように支援できるかについて詳しく見てみましょう。 信頼できるアプリ アクセス、アプリ インフラストラクチャ セキュリティ、アプリ レイヤー セキュリティ。   

信頼できるアプリアクセス

アプリケーション アクセスに関しては、組織は、サイトにアクセスするすべてのユーザーが悪意のあるユーザーであると想定する必要があります。 アクセス関連の侵害は増加し続けています。 F5 Labs によると、2019 年にアクセス関連の侵害が既知の侵害原因の最大の割合を占め、2018 年の 47% から 52% に増加しました。

F5 BIG-IP アクセス ポリシー マネージャ (APM) は、ユーザーとアプリケーションがどこにあっても、アプリケーション、API、データへのアクセスを保護、簡素化、集中化します。 Identity Aware Proxy (IAP) を使用すると、APM は詳細なコンテキストに基づいてゼロ トラスト モデル検証を展開し、すべてのアプリ アクセス要求を保護します。 また、アプリセッション全体を通じて、各ユーザーのデバイス、場所、アクセスを継続的に監視します。

主な価値提案は次のとおりです。

  • SSO による優れたユーザー エクスペリエンスと、アプリがオンプレミスかクラウドかに関係なく、すべてのアプリにアクセスできる共通のユーザー エクスペリエンス
  • ゼロトラストアーキテクチャでより安全なアプリケーション
  • ハイブリッド環境向けの共通アーキテクチャと複数のクラウドにわたる共通ポリシー

Shape の追加と、詐欺行為を行う悪質な人物を特定する機能により、正当なユーザーをより適切に識別し、ユーザーがパスワードを入力する回数を減らすことができるようになりました。 これにより、ユーザーはパスワードを忘れることなくより多くのサービスにアクセスでき、サポートコストが削減され、収益が増加します。

アプリインフラストラクチャのセキュリティ

ゼロ トラストを実現するために、アプリが安全で利用可能であることを保証するには、ネットワーク インフラストラクチャが重要です。 ネットワークに影響を及ぼす可能性がある領域の 1 つは、暗号化された脅威です。

暗号化は今や新たな標準です。 F5 Labs の調査によると、ページ読み込みの 91% が SSL/TLS で暗号化されています。 しかし、攻撃者は暗号化を利用してセキュリティ制御を回避することもあります。 組織は、受信する暗号化されたトラフィックにマルウェアが潜んでいると想定する必要があります。 また、送信暗号化トラフィックには流出する可能性のある機密情報が含まれていることも想定する必要があります。

F5 SSL Orchestrator は、ネットワーク内の暗号化されたトラフィックの危険性を解決します。 これは、受信/送信 SSL/TLS トラフィックのオーケストレーション専用のソリューションであり、暗号化制御を集中化します。 暗号化されたトラフィックに隠れているマルウェアを検出し、盗まれたデータの流出を阻止することで、セキュリティの盲点を排除します。

アプリ層セキュリティ

現実には、どの組織でもアプリケーションは脆弱です。 F5 Labs の調査によると、企業は平均 765 個のアプリを導入しています。 1 つの企業でこれほど多くのアプリが使用されている場合、攻撃者はそれらがどれほど重要であるかを認識しており、アプリの 1 つ 1 つが貴重な知的財産やデータへの裏口 (または正面玄関) になる可能性があるため、積極的にアプリを侵害しようとします。 ゼロ トラスト戦略の一環として、アプリを継続的に保護することが重要です。

F5 は、ゼロ トラスト アーキテクチャでアプリケーション スタックを保護できます。 Advanced WAFEssential App Protectなどの当社の WAF ソリューションは、OWASP Top 10 や SQL/PHP インジェクションなどの一般的な脆弱性や悪用を防ぐのに役立ちます。

当社の WAF ソリューションは、アプリの健全性を継続的に監視する動作分析機能により、レイヤー 7 DoS 攻撃からも保護できます。 また、攻撃者によるユーザー アカウントへの不正アクセスを防ぐための資格情報保護も提供しています。 さらに、API の使用が増えるにつれて、API を保護し、API 攻撃からアプリを安全に保つことができます。

F5 は WAF と API セキュリティ ソリューションでアプリケーションの脆弱性を保護すると同時に、Shape でビジネス ロジックの悪用も防止します。

F5 は、組織のゼロ トラスト導入戦略に適合するセキュリティ サービス (セルフ管理、サービスとして、またはSilverlineおよび Shape Security を介した完全管理サービス) を提供します。

さらに詳しく知りたい場合は、Agility on-demand の私の基調講演を視聴できます。ゼロ トラストの導入に関するサポートについては、当社にお問い合わせください