ゼロトラストネットワーク読書メモ第一章 ゼロトラストの基礎
オライリーのゼロトラストネットワークを読んだのでメモとして残していこうと思います。
ゼロトラストネットワークとは何か
5つの基本原則
- ネットワークは常に安全ではないとみなされる
- ネットワーク上には外部及び内部の脅威が常に存在する
- ネットワークを信用できると判断するには、ローカルネットワークでは不十分である
- デバイス、ユーザ、ネットワークフローはひとつ残らず認証及び認可される
- ポリシーは動的であり、できるだけ多くの情報源に基づいて作成されなければならない。
従来のネットワークセキュリティ
従来のネットワークセキュリティは境界防御を多層で実施することによってセキュリティを高めていた。
DMZは一番リスクの高い層であり、この層で監視と制御を厳重に行うことで効率よく対応できていたと考えられる。
リスク
VPNは逆に認証が成立するとトンネリングされたネットワーク接続され パケットが転送される誰にも疑われない最高のバックアドアともとられてしまう。
ゼロトラストアーキテクチャ
ゼロトラストアーキテクチャは従来のネットワーク構成をひっくり返す。
そのためデバイスやユーザといったエンドポイントにアクセス制御を適用する必要がある。
アクセス制御個所の分散とゼロトラストの基本原則を合わせると図のようになる
下図参照
アクセス制御
コントロールプレーン データプレーン
保護されているリソースへのアクセスリクエストはコントロールプレーンに送信される。
コントロールプレーンではデバイスとユーザの両方が認証・認可されないといけないポリシーも適用する
コントロールプレーンがリクエスト許可すると送信ものクライアントからのトラフィックのみを受け入れるようにデータプレーンを動的に設定する。さらに暗号通信も設定する(1回限りのクレデンシャル、キーポート番号)
これらの制御は自動化されていないとサービスとして利用できないだろう。
ゼロトラストの構成
- ユーザ・アプリケーション認証
- デバイス認証
- 信用(信用スコアを計算)
上記の3項目がエージェントとなるそしてリクエストを認可するためにsエージェントに対してポリシーが適用される
⇒コントロールプレーンによってエンドポイントにポリシーが適用される。
⇒これはコントロールプレーンとは別のコンポーネント
また暗号化設定もここで適用する(こっちはコントロールプレーンで決定)
※サービス化するにあたりkントロールプレーンのイベントやアクションをすべてログに記録できないといけない。ネットワークトラフィックをフローごと、リクエストごとに監査証跡として出せないといけないからである。
暗号化のハッシュまたは、トラフィックの番号とかを見ることで
一意性を確認して認証と認可を与えることで
IPベースで認証/認可を与えない