本をざっと読んだ感じ、ゼロトラストネットワークはまだま概念レベルで製品化するのはこれから。しかも製品化したとしても、企業NWの全体に導入していく必要があるので段階的なシステムアップデートと、SIerは数年単位のお付き合いが必要と思われる。
製品が登場し、整うのに2~3年。PoCや部分導入し始めるのにさらに1~2年、全体的に導入は5年後〜10年後といった感じだろうか。Googleのように自社で理念を提唱し、さらにそれをソフトウェアに落とし、導入できる企業はほとんどないだろう。
書籍としては訳の問題かもともとの文章の癖か、非常に読みづらく頭に入ってこない。概念として知っておくぐらいなのであれば斜め読みがおすすめ。実装をするならしっかり向き合う必要あり。
以下本文から少し紹介。
ゼロトラストネットワークの出発点
- クラウドではDC内のトラフィックが傍受されたことも
- 攻撃は攻撃とは思えない形で入ってくる。一度入ってくると境界防御では防げない
- FW、VPNでは防げない
- ユーザのデバイスの多様化(1人が複数デバイスを持つ、リモートワーク)
ゼロトラストNWの5原則
- NWは常に安全ではないとみなされる
- NW常には外部および内部の脅威が常に存在する
- NWを信用できると判断するには、LANでは不十分である
- デバイス、ユーザー、NWフローは1つ残らず認証および認可される
- ポリシー波動的であり、できるだけ多くの情報現に基づいて作成されなければならない
ゼロトラストの構成要素
- ネットワークエージェント:アクセス元のこと
- コントロールプレーン:ネットワークエージェントからのアクセスを管理する機構(認証、認可)
- データプレーン:アクセス先
すべてのトラフィックはまずコントロールプレーンにいき、そこで認証・認可されてはじめてデータプレーンに接続される
いまは境界モデルだが、ゼロトラストではNWは完全に危険にさらされていると考え、ユーザ/アプリケーション認証、デバイス認証、信用の3つで相手のチェックを行う。
認証基盤
名前 | 和名 | 役割 |
---|---|---|
PKI | 公開鍵基盤 | 信頼されていないNWにて公開鍵の配布と検証を安全に行うための一連の役割と責務を定義する(Identityと公開鍵の紐付け) CAやRAはPKIのコンポーネント |
RA(Registration Authority) | 登録機関 | PKI ユーザからの証明書申請が発生した場合に、本人性の確認を行います CA に対して証明書の発行や失効を要求します |
CA(Certification Authority) | 認証局 | PKIプロバイダの一種、証明書チェーンの最終的な証人の役割を行う、公開鍵とIdentityの紐付けに署名し、公開鍵を発行する |
WoT(Web of Trust) | PKIプロバイダの一種、複数のシステムがピアの真正性を裏付けることで信頼を得るPGPで使われる方式 |
- ゼロトラストNWにはPKIが必須。その中でも特にプライベートPKIが大事。自動化、価格の観点から。
- ゼロトラストでは最小権限、またアクターの属性(時間、地理、行動)をベースに動的に危険度を測定する。
- 現在はシステム管理者に高セキュリティなアカウントを与え管理しているため、攻撃者はそこを狙う。動的な管理が大事。
- NW上の特定のアクターにできること、できないことを割り当てるためのポリシーを定義するのではなく、NW上のアクターのアクションをモニターしスコアリングすることで信用スコアを更新する。その信用に対する違反のインパクトに基づいてNWのポリシーを定義する。
認証と認可は別物
- 認証...xxxというIPなので通信元はAサーバだ
- 認可...パスワードを持っているのでyyリソースを使って良い
ゼロトラストではクライアントにエージェントを用意し、そのエージェントが様々なメタデータ(IP、デバイスの信用スコア、エージェントの信用スコア・・など)を使って通信を行う。認可コンポーネント。
個人的に参考になった
SPA(Single Packet Authorization) とその実装であるfwknop。グローバルでIP/ポートを公開しても、攻撃されないための仕組み。レスポンスを返さないUDPポートを空けておき、そこで認証を行う。(事前認証)その上で認証された場合のみSYN/ACKを返す。