ゼロトラストネットワーク読書メモ第二章 信頼と信用の管理
信頼の委任
信頼の委任が重要。 この委任自動化システムがあることで運用者の負荷を下げる。 明示的な信頼を与えたシステムがさらに別システムに信頼(委任)することをトラストチェーン・運用者をトラストアンカーと呼ぶ
脅威モデル
脅威モデルとは、潜在的な攻撃者、攻撃者の能力とリソース、そして攻撃者の標的を洗い出す。
そしてシステムに対する脅威を提言するためのシステムとプロセスをリストアップすることが目標
多角的にリスク低減戦略をとるには3つの手法を取り入れることが理想
一般的な脅威モデルは以下。
- STRIDE
- DREAD
- PASTA
- Trike
- VAST
ゼロトラストの脅威モデルは FRC3552 インターネット脅威モデルが近しい
攻撃者ベースで順にリストすると
- スクリプトキディ
- 標的型攻撃者
- インサイダー脅威(権限を持たない・低い従業員や請負業者)
- 信頼されたインサイダー(強い権限を得ているシステムの管理者)
- 国家レベルのアクター(政府支援の攻撃者)
ゼロトラストでは敵対的なネットワークでよくみられる攻撃者にそなえることえある。4. までを対処することを想定としている
「ディスクに格納されたクレデンシャルなど認証と認可に用いられるじょうほうの安全性」を満たす。
エンドポイントも対象とするがディスクの完全な暗号化やエンドポイントのセキュリティについては追加ポリシーを企業ごとに定義すべし。
ゼロトラストで使用する認証
IP(user名)とパスワードでは不十分
X.509 規格を使用する (証明書)
ただし秘密鍵が正しくとも所有書が正しいとは限らないので
秘密鍵を複数使用しそれらの組み合わせによってアクセスを許可することがのぞましい。
その場合でも盗み出されることを考慮しクレデンシャルに有効期限を設けること(鍵とパスワード)を変更することをクレデンシャルのローテーション
公開鍵認証基盤
デジタル証明書によって認証されるエンティティは以下
- デバイス
- ユーザ
- アプリケーション
そしてプライベートPKIを使用することが推奨される パブリックはコストの面と突然証明書を無効化される危険がある
最小権限の原則
どのアクションにどの権限が必要かを理解することが大事最小限の権限のみ与えることで不正な操作を極力減らす。
また、気密性の高いアクションを実行する場合は権限を昇格するようにする(sudoのようなもの)
またアクセスの危険度によって認証のレベルを変更することが有用かもしれない。例えば 特定のユーザが通常の勤務時間外の新しい場所からアクセスしようとした場合は追加の要素に基づく認証が要求されるかもしれない
変化する信頼と信用
ポリシーの設定はシステム管理者が主導で行うことが多く
ボトルネックでありシステムの特権であるため乗っ取られるリスクが大きい
信用スコアを用いてポリシーの定義を行う。
信用スコアはアクター(ユーザやデバイス)のアクション(アクティビティデータ)をモニタリングと検証することで定義される。
定義されたものをまとめたエージェントという単位でポリシーと比較しリクエストを認可する。
では、新メンバーは信用スコアが低いので低い権限しか渡せないのか
などは別途考慮する必要がある(環境による)
コントロールプレーンとデータプレーン
コントロールプレーンで対象のリクエストがデータプレーンに与えるリスク計算を行う。そしてデータプレーンのポリシーを確認して信用スコアがどれだけ必要か特定
その後、コントロールプレーンはデータプレーンに特定のリクエストを許可するようにつうちするか設定を変更する。
また、コントロースプレーンとデータプレーンはPKIなどで暗号化した通信を行い、相互で権限昇格させることはできないようにする必要がある
またコントロールプレーンはデータプレーンを信頼するがそれは一時的なものでないといけない。
(証明書の有効期限やトークン)