今日の分散型および動的IT環境では、従来のネットワークセキュリティモデルは十分ではありません。 境界が溶解し、組織はアプリケーションやデータを保護するための新しいアプローチを必要としています。 ソフトウェア定義された周囲(SDP)が入るところです。 SDPは、ネットワークのセキュリティに対する近代的、アイデンティティ中心的なアプローチを提供し、ゼロトラストの原則を強化し、重要なリソースを保護します。
このガイドでは、コアコンセプトを理解し、ソリューションの展開と管理を行うため、SDPの実装プロセスについて説明します。 私たちは、組織の資産を正常に保護するのに役立ちますアーキテクチャ、デプロイメントモデル、およびベストプラクティスをカバーします。
ソフトウェア定義された周囲は何ですか?
「ブラッククラウド」とも呼ばれるソフトウェア定義の境界(SDP)は、アイデンティティに基づくリソースへのアクセスを制御するセキュリティフレームワークです。 会社の資産の周りの仮想境界を作成します。, 彼らはオンプレミスやクラウドにいるかどうか. SDP は、ユーザーとアクセス権限のあるリソースとの間の 1 つから 1 つのネットワーク接続を動的に作成します。 このアプローチは3つのコア原則に基づいて構築されています。
- アイデンティティ中心: SDPモデルは、IPアドレスではなく、ユーザーの身元を中心としています。 アクセス決定は、ユーザーが誰であるか、自分の役割、アクセス要求のコンテキストに基づいています。
- ゼロ信頼: SDP は、ゼロ・トラスト・セキュリティ・モデルを採用しています。つまり、ユーザやデバイスがデフォルトで信頼されるわけではありません。 すべてのアクセスは、接続が確立される前に認証され、承認されなければなりません。
- 雲中心: SDPsは現代、雲陰性の世界のために設計されています。 ハイブリッド環境とマルチクラウド環境を横断して、拡張性が高く、分散性が高く、展開できます。
従来のネットワークセキュリティが失敗する理由
何十年もの間、組織はよく定義された周囲に基づいて従来のネットワークのセキュリティ モデルに頼っています。 このアプローチは、多くの場合、「castle-and-moat」モデルと呼ばれ、ファイアウォール、VPN、およびその他のセキュリティ制御を使用して、外部の脅威から内部ネットワークを保護します。 しかし、このモデルは、分散アプリケーション、モバイルユーザー、クラウドコンピューティングの世界ではもはや有効ではありません。
従来のネットワークセキュリティが失敗する主な理由は次のとおりです。
- 解決の周囲: 境界はもはや防衛の明確なラインではないです。 クラウドサービス、モバイルデバイス、リモートワークの採用により、境界は断片化され、確保が困難になりました。
- **暗黙の信頼:**従来のネットワークは暗黙の信頼モデルに基づいています。 ユーザーがネットワーク上にいると、攻撃者によって横方向の動きにつながることができるリソースへのアクセスが広く付与されることが多いです。
- **IPベースのセキュリティ:**従来のセキュリティ制御は、もはやIDの信頼できる指標ではないIPアドレスに基づいています。 攻撃者は、IPアドレスを簡単に損なうことができ、不正なアクセスを得ることができます。
- 複雑性: 従来のセキュリティインフラの管理は複雑で時間がかかります。 ファイアウォールルールは管理が困難で、VPNはパフォーマンスのボトルネックになる可能性があります。
SDPアーキテクチャ
SDPアーキテクチャは、リソースへのアクセスを保護するために一緒に働く3つの主要なコンポーネントで構成されています。 これらのコンポーネントは、SDP コントローラー、SDP クライアント、SDP ゲートウェイです。
| Component | Description | Key Functions |
|---|---|---|
| SDP Controller | The Controller is the brain of the SDP. It is responsible for authenticating users and devices, evaluating policies, and issuing access tokens. | - User and device authentication - Policy enforcement - Issuing access tokens - Integrating with identity providers (IdPs) and other security tools |
| SDP Client | The Client is a lightweight software agent that runs on each user's device (e.g., laptop, smartphone). It is responsible for establishing and maintaining the secure connection. | - Single-Packet Authorization (SPA) - Creating a secure, encrypted tunnel to the Gateway - Enforcing device posture checks |
| SDP Gateway | The Gateway acts as a secure access broker. It is deployed in front of the resources it protects and enforces the access policies defined in the Controller. | - Cloaking protected resources - Enforcing access policies in real-time - Terminating the secure tunnel from the Client - Logging all access attempts |
次の図は、これらのコンポーネント間の相互作用を示しています。
sequenceDiagram
participant Client
participant Controller
participant Gateway
participant Application
Client->>Controller: 1. Access Request (SPA)
Controller->>Client: 2. Live Entitlement (Token)
Client->>Gateway: 3. Upload Live Entitlement (SPA)
Gateway-->>Application: 4. Discover Application
Gateway-->>Client: 5. Establish Secure Tunnel
Client-->>Gateway: 6. Access Application via Tunnel
Gateway-->>Application: 7. Forward Traffic
```________________________________________________________________________________________________________________________________________________________________
## ソフトウェア定義された周囲の実装方法
SDPの実装は、慎重な計画と実行を必要とするマルチステップのプロセスです。 ここでは、関与する手順の高レベルの概要です。
1. **スコープとゴールの定義:** SDP 実装のスコープを定義することが重要です。 保護したいリソースは何ですか? セキュリティの目標は何ですか? これらの質問に答えると、適切なSDPソリューションを選択し、成功した実装計画を開発するのに役立ちます。
2. **SDPのベンダーを選ぶ:** SDPベンダーは、それぞれ独自の強みと弱みで選ぶことができます。 ベンダーを評価する場合、デプロイモデル、統合機能、価格設定などの要因を考慮します。 他の組織がソリューションをどのように使用しているかを確認するレビューやケーススタディを読むこともお勧めです。
3. **あなたのアイデンティティプロバイダと統合して下さい:** SDPコントローラーは、Azure AD、Okta、Google Workspaceなどの既存のIDプロバイダ(IdP)と統合する必要があります。 これは、アクセスポリシーを定義するために、既存のユーザー ID とグループを活用することができます。
4。 **アクセスポリシーの定義:**アクセスポリシーはSDPの実装の中心です。 どのようなリソースにアクセスできるか、どのような条件下で定義します。 ポリシーを定義するときは、ユーザーの役割、デバイス姿勢、位置などの要因を考慮してください。
5。 5。 **SDP コンポーネントに依存:** ポリシーを定義したら、SDP コンポーネントのデプロイを開始できます。 コントローラーとゲートウェイは、オンプレミスまたはクラウドで展開できます。 クライアントは、各ユーザーのデバイスにデプロイする必要があります。
6。 **テストと検証:** SDPをユーザにロールアウトする前に、実装をテストして検証することが重要です。 これにより、ユーザーがユーザーに影響を与える前に、問題を特定し、修正することができます。
7。 **ユーザーをオンボード:** 実装をテストして検証したら、ユーザをオンボーディングすることができるようになります。 トレーニングやドキュメントの提供など、それらが始めるのに役立つ場合があります。
8。 **モニターとメンテナンス:** SDP をデプロイした後、ソリューションを監視し維持することが重要です。 セキュリティイベントの監視、ソフトウェアの更新、アクセスポリシーの変更などが含まれます。
## コンクルージョン
ソフトウェア定義された周囲の実装は、組織のセキュリティ姿勢を近代化するための重要なステップです。 ゼロ・トラスト・アプローチを採用することで、攻撃面を大幅に削減し、不正なアクセスから重要なリソースを保護することができます。 実装プロセスは慎重な計画と実行を必要としますが、SDPの利点は、努力の価値があります。 適切に実装されたSDPでは、より安全でアジャイルなIT環境を実現できます。
## 参考文献
1. クラウドセキュリティアライアンス(2019) *SDP 建築ガイド v2* [_URL_0___]
2. 割り当て。 (2022) *ソフトウェア定義された周囲*への決定的なガイド。 [_URL_1___]