ゼロトラストネットワークについて
4~5月にかけてO'Reilly Japanより出版されている「ゼロトラストネットワーク--境界防御の限界を超えるためのセキュアなシステム設計」を一通りよんでみました。
今回はその内容について個人的なまとめ及び解釈を書いてみようかと思います。
記事を読む前にご留意いただきたいことがございます。それは、あくまで個人的な解釈なので、いかに正確に書いたつもりでも誤りがある可能性がございます。
したがって、本格的に参照される場合は当該書籍の参照を行うこと、また誤りについては寛容にお願いいたします。(マサカリ怖い(´;ω;`))
あと口調がコロコロ変わりますがご了承ください。
ゼロトラストネットワークとは
それでは私個人が考える「ゼロトラストネットワークとは」等々について書いていくとします。
まず初めに、ゼロトラストネットワークとは何か?
これは2010年にForrester research社のJohn Kindervag氏によって考案されたモデルです。 そして基本的な原則として、
- ネットワークは常に安全ではないとみなされる
- ネットワーク上には外部および内部の脅威が常に存在する
- デバイス、ユーザー、ネットワークフローはひとつ残らず認証および認可される
- ポリシーは動的であり、できるだけ多くの情報源に基づいて作成されなければならない
ということが挙げられます。
それでは上記をちょっとまとめてみるとしましょう。
"ゼロトラストネットワークにおいて、すべての要素において脅威が存在するとして信頼しない。またデバイス、ユーザー、ネットワークフローは全て認証および認可されなくてはいけなく、そのポリシーは動的である。"
....まとめがまとめっぽくない?気にするな(((((((((
(ちなみに認証についてはISO17090が、認可についてはISO/TR22100:2018:3.4が近い気がするので、確認したい場合はみてみてください。それがめんどくさかったらwiki参照してみるといいかも?)
認証 - Wikipedia
認可 (セキュリティ) - Wikipedia
さらに深堀(たぶん)
原則について話した次はその詳細について話していきましょう。
信頼について
上記原則より、「すべての要素において信頼しない」とした。それでは「一体どのようにして不確かなものを信頼していくのか」ということを思われるかと思う。
これについてももちろん当該書籍において説明されています。それは信頼によって他を信頼することにより、トラストチェーンを作成することです。
少し砕けて言うとしたら、
"信用できるもので構成したものは、基本的には信頼んじゃない?"
ってところでしょうか。
ちなみにデバイス、ユーザー、ネットワークフローに関する信頼・信用の方法については言及しないので当該書籍を見てください。章ごとに記述されていますし。
動的なポリシーについて
書籍において、ゼロトラストネットワークにおける「要素を信用する方法」について端的に記述されている箇所があるので引用するとします。
ネットワーク内の信頼に加えて、信用を定義する。ネットワーク上の特定のアクターにできることとできないことを割り当てるためのポリシーを定義するのではなく、ネットワーク上でのアクターのアクションを絶えずモニタリングと検証をすることで、アクターの信用をスコアを更新する。
これによってアクター(ネットワーク等を使用するユーザーなど)は、どの程度信頼できるのかが定義されます。(しかもモニタリングすることによって動的に)
もちろんどの程度信頼できるかによって、どの程度権限が付与されるか・ポリシーが許可されるか動的に決定されます。
よって、アクターのアクションとアクターの有する信用スコアによって、総合的にポリシーに適用されるかが判断がなされることになります。そして信用スコアを動的にすることによって、アクターがアクションを行うごとにポリシーを満たしているか検証しなくて良い、というある意味良い副作用があります。
従来型ネットワークセキュリティアーキテクチャ(境界型モデル)との相違点
さて、今更な気がしますが従来型である境界型モデルとゼロトラストネットワークアーキテクチャの相違点を上げるとしましょう。
従来型
これは皆さんおなじみのネットワークアーキテクチャで、インターネット・DMZ(外部と内部の中間)・内部ネットワークに分けて境界をまたぐ際にファイアウォール等を設置するものです。
攻撃者は内部ネットワーク内において権限を有するユーザーとなれば権限を行使して内部ネットワークで攻撃を展開します。
ゼロトラストネットワーク
前章までを読んでいただいていたらご理解されるかとおもいますが、すべてを信用せず動的に認証及び認可が行われるというものです。
従来型では内部ネットワークで権限を奪取されてしまえば、内部ネットワークで攻撃が可能となりますが、ゼロトラストネットワークでは不審な挙動をすればするほど信用スコアは下がり、権限を行使しずらくなります。
よってまとめるとすれば、
"従来型は「門」を通過できるとしたら信用し、ゼロトラストネットワークでは「信頼できるものなんてあるものか!行動で良し悪しを判断するぜ!」"
っといったところでしょうか。
最後に
ここまで書籍の内容をところどころ引用しつつまとめてきましたが最後に個人的な所感等をまとめるとします。
まず何度も登場している「ポリシーは動的である」という点について。
これは私の中で特に印象的でした。なぜならそうすることによって、確かにアクターを信頼できるかを判断できるということ、またそれによって攻撃者のアクションをある程度抑制することができると考えたからです。
そして次に今後実現・実装されるかについて。
これについてですが、
現在のゼロトラストネットワークは、市販のソフトウェアコンポーネントと、それらのコンポーネントを斬新な方法で統合するカスタムソフトウェアとグルー(接着剤)を使って構築されている。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ゼロトラストネットワークの実装が(まだ)ハードウェア製品やソフトウェア製品のインストールと設定のような簡単なものではないことに注意してほしい。
とあること、さらに境界型モデルが一般的であることなどから
”まぁ、2~5年くらい経ってから「ゼロトラストネットワーク導入したい!!」といった声が(なんとなーーーく)揚がり始めるんでない?”
といったことを思いました。
以上が徒然なるままに「ゼロトラストネットワーク--境界防御の限界を超えるためのセキュアなシステム設計」を読んだまとめ及び所感となります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
p.s.
読んでいるとき、マーーーージで頭がパンク・死にそうになりました。
_( _´ω`)_ペショ