ゼロ トラスト技術の柱パート 2
このユニットでは、引き続き、ゼロ トラスト デプロイの残りの目標について説明します。
ゼロ トラストでデータを保護する
データ保護の 3 つの要点は次のとおりです。
- データの把握 - オンプレミスとクラウド サービスにある機密データを把握していなければ、それを十分に保護することはできません。 組織全体のデータをすべて見つけ出し、すべてのデータを機密性に基づいて分類する必要があります。
- データを保護しデータ損失を防ぐ - 機密データは、データのラベル付けと暗号化を行い、過度の共有を阻止するデータ保護ポリシーによって保護する必要があります。 これにより、データが組織の環境の外を移動する場合も含めて、認可を受けたユーザーだけがデータにアクセスできるようになります。
- 監視と修復 - ポリシー違反や、危険なユーザー動作を検出できるよう、機密データは常に監視する必要があります。 これにより、アクセス権の取り消し、ユーザーのブロック、保護ポリシーの改善など、適切な措置を取ることができます。
ゼロ トラストによるデータ管理の展開目標
情報保護戦略は、組織のデジタル コンテンツ全体をカバーしている必要があります。 一番の基本として、環境全体でラベルを設定し、機密データを把握し、ラベルの使用状況と活動とを監視する必要があります。 秘密度ラベルの使用方法は、このガイドの最後で説明します。
データ管理のためにエンドツーエンドのゼロ トラスト フレームワークを導入するときは、はじめに、これらの最初の展開目標に取り組むことをお勧めします。
I. アクセスの決定は暗号化によって管理される。
II. データの分類、ラベル付けを自動で行う。
これらが完了したら、次の追加のデプロイの目的に焦点を合わせます。
III. 分類は、スマートな機械学習モデルによって強化される。
IV. アクセスの決定は、クラウド セキュリティ ポリシー エンジンによって管理される。
V. 秘密度ラベルとコンテンツ検査に基づく DLP ポリシーでデータ漏洩を防止する。
ゼロ トラストによるエンドポイントのセキュリティ保護
ゼロ トラストは、「決して信頼せず、常に確認する」という原則を順守します。エンドポイントにおいては、"すべての" エンドポイントを常に確認することを意味します。 これには、契約者、パートナー、およびゲスト デバイスだけでなく、デバイス所有権に関係なく従業員が仕事用データにアクセスするために使用するアプリとデバイスも含まれます。
ゼロ トラスト アプローチでは、デバイスが会社所有か BYOD (Bring Your Own Device) による個人所有か、つまり、デバイスが IT によって完全に管理されているかどうかやアプリとデータのみが保護されているかどうかに関係なく、同じセキュリティ ポリシーが適用されます。 このポリシーは、セキュリティで保護された企業ネットワーク、家庭用ブロードバンド、パブリック インターネットなど、どこに接続されていても PC、Mac、スマートフォン、タブレット、ウェアラブル、IoT デバイスなどのすべてのエンドポイントに適用されます。
エンドポイントのゼロ トラスト展開の目的
エンドポイントをセキュリティで保護するためのエンドツーエンドのゼロ トラスト フレームワークを実装する場合は、最初に次の展開の初期目的に焦点を当てることをお勧めします。
I. エンドポイントは、クラウド ID プロバイダーに登録されます。 ある 1 人のユーザーが使用している複数のエンドポイント間でセキュリティとリスクを監視するには、リソースにアクセスしている可能性のあるすべてのデバイスとアクセス ポイントの可視性が必要となります。
II. アクセス許可は、クラウドで管理され、準拠しているエンドポイントとアプリにのみ与えられます。 デバイスが最小限のセキュリティ要件を満たしていることを確認してからアクセス許可が付与されるよう、コンプライアンス規則を設定します。 また、問題の解決方法がわかるよう、非準拠デバイスの修復規則を設定します。
III. データ損失防止 (DLP) ポリシーは、企業のデバイスと BYOD に適用される。 ユーザーがアクセス権を取得した後、データを使用して実行できる操作を制御します。 たとえば、データを保護するために、ファイルを信頼されていない場所 (ローカル ディスクなど) に保存することを制限したり、コピーと貼り付けによってコンシューマー コミュニケーション アプリやチャット アプリで共有することを制限したりすることができます。
これらが完了したら、次の追加の展開目的に焦点を合わせます。
IV. デバイスのリスクを監視するためにエンドポイントの脅威の検出が使用される。 1 つのウィンドウから一貫した方法でエンドポイントを管理し、SIEM を使用してエンドポイントのログとトランザクションをルーティングします。これにより、より少数でも実用的なアラートを取得できます。
V. アクセス制御は、企業のデバイスと BYOD の両方のエンドポイントのリスクに応じてゲート制御される。 Microsoft Defender for Endpoint、またはその他の Mobile Threat Defense (MTD) ベンダーのデータを、デバイス コンプライアンス ポリシーおよびデバイスの条件付きアクセス規則の情報ソースとして統合します。 その後、デバイスのリスクは、そのデバイスのユーザーがどのリソースにアクセスできるかに影響を及ぼします。
ゼロ トラストでインフラストラクチャを保護する
Azure Blueprints、Azure Policy、Microsoft Defender for Cloud、Microsoft Sentinel、Azure Sphere によって展開したインフラストラクチャのセキュリティが大幅に向上し、これまでと異なる手法によってインフラストラクチャを定義、設計、プロビジョニング、展開、監視できます。
インフラストラクチャのゼロ トラスト展開目標
インフラストラクチャの管理、監視のためにエンドツーエンドのゼロ トラスト フレームワークを導入するときは、はじめに、これらの最初の展開目標に取り組むことをお勧めします。
I. ワークロードを監視し、異常に対して警報を出す。
II. すべてのワークロードにアプリ ID を割り当て、一貫性のある構成、展開を行う。
III. 人間がリソースにアクセスするときは常に Just-In-Time で行う。
これらが完了したら、次の追加のデプロイの目的に焦点を合わせます。
IV. 未認可の展開を阻止して警報を出す。
V. すべてのワークロードで詳細な可視化とアクセス制御を行う。
VI. ユーザーとリソースへのアクセス権をワークロードごとにセグメント化する。
ゼロ トラストによるネットワークのセキュリティ保護
エンドツーエンドのゼロ トラスト戦略では、企業のファイアウォールの後方にあるすべての要素が安全であると信じる代わりに、侵害が不可避であることを想定します。 つまり、各要求を、管理下にないネットワークから発生した場合と同様に検証する必要があります。これには、ID 管理が重要な役割を果たします。
ネットワークのゼロ トラスト デプロイの目的
ネットワークをセキュリティで保護するためのエンドツーエンドのゼロ トラスト フレームワークを実装する場合は、最初に次の初期のデプロイの目的に焦点を当てることをお勧めします。
I. ネットワークのセグメント化: マイクロセグメント化を使用した多くのイングレス/エグレス クラウド マイクロ境界。
II. 脅威防止: 既知の脅威に対するクラウド ネイティブのフィルター処理と保護。
III. 暗号化: ユーザーとアプリ間の内部トラフィックは暗号化されます。
これらが完了したら、次の追加のデプロイの目的に焦点を合わせます。
IV. ネットワークのセグメント化: 完全に分散されたイングレス/エグレス クラウド マイクロ境界とより深いマイクロセグメント化。
V. 脅威防止: 機械学習ベースの脅威防止とコンテキストベースのシグナルによるフィルター処理。
VI. 暗号化: すべてのトラフィックを暗号化。