Zscalerのブログ
Zscalerの最新ブログ情報を受信
購読するゼロトラストの拠点への拡張
この5年でテクノロジー業界は大きな変革を遂げました。組織が競争力を獲得するためのテクノロジーへのアプローチにも数々の変化が起こりましたが、その中でも特に大きな影響をもたらした重要な変化が3つあります。
- 従来のデータ センターからクラウドへのアプリの移行(SaaSの普及)
- オフィス勤務とリモート勤務の両方を組み合わせたハイブリッド ワーク モデルの普及
- 工場や拠点でのIoT/OTデバイスの利用拡大
今、多くの組織が、WANインフラストラクチャーの制約とネットワークのセキュリティ ギャップがこの3つの変化への対応の妨げとなっていることに気付き始めています。
従来のSD-WANは、攻撃対象領域の拡大や脅威のラテラル ムーブメントを招きます。サイト間VPNやオーバーレイ ルーティングによってさまざまなサイトを接続し、暗黙の信頼を与えることで、侵害されたエンティティーに対しても重要なビジネス リソースへの無制限のアクセスを許すことになります。さらに、低粒度のセグメンテーション ポリシーによって、脅威がネットワーク内を簡単に移動できる環境が生まれます。脅威が増加するなか、IoT/OTデバイスの導入が進んでいますが、多くの場合、こうしたデバイスの存在はネットワーク上で把握できません。そこで、組織のWANインフラストラクチャーにもゼロトラストの原則を適用することが必要です。
従来のWANインフラストラクチャーは、ルーター、ファイアウォール、VPNなどの複数のポイント製品で構成されており、管理面で大きな課題をもたらす場合があります。したがって、拠点の刷新を行う場合は、「拠点は軽く、クラウドは厚く」という発想に基づくソリューションを導入し、管理上の複雑性を軽減することが大切です。
ZscalerのゼロトラストSD-WANは、VPNの複雑性を伴うことなく、拠点、工場、データ センターを安全に接続し、ユーザー、IoT/OTデバイス、サーバーのゼロトラスト アクセスを実現します。インターネット接続のみで展開できるシンプルなプラグ&プレイ アプライアンスで、不要なデバイスを排除した軽量の拠点を構築できます。
Zero Trust SD-WANによるビジネス リスクの排除
リモート サイト、クラウド、サード パーティーにネットワークを拡張する従来型のSD-WANとは異なり、Zero Trust SD-WANは、ルーティングされたオーバーレイを使用せず、ユーザー、IoT/OTデバイス、アプリケーションを、それぞれがアクセス権を持つリソースに接続します。これにより、攻撃対象領域を排除し、脅威のラテラル ムーブメントを防ぐゼロトラスト ネットワークを構築できます。すべてのトラフィックはZscaler Zero Trust Exchangeでプロキシされるため、露出したIPアドレスやVPNポートを不正侵入に利用されることはありません。
最近のZscaler ThreatLabzのレポートでは、IoT/OTベースのマルウェア攻撃が2022年から400%増加していることが明らかになっており、ネットワーク上に展開されたIoT/OTデバイスの可視性とセキュリティを強化することの必要性が浮き彫りになりました。IoT/OTは、見落とされたり、存在を把握できなかったりすることが多く、管理者が拠点のユーザーのセキュリティ ポリシーを設計する際に適切な対応が取られていません。ThreatLabzのレポートが示すように、こうしたデバイスは重大な脅威ベクトルとなっています。
Zero Trust SD-WANは、デバイスを完全に可視化し、組織にすべてのIoT/OTデバイスの詳細なビューと、通信するアプリケーションに関するインサイトを提供します。さらに、同じポリシーをユーザーとデバイス両方に一貫して適用できるため、管理者はユーザーとデバイスに個別のポリシーを設定する必要がなくなります。
図2: IoTデバイスの検出と分類
多くの組織には、サーバーとクライアント間の通信のユース ケースがあります。たとえば、データ センターのプリント サーバーは、拠点にあるリモート プリンターへの印刷コマンドの発行が必要な場合があります。Zero Trust SD-WANを利用すれば、ネットワークへの侵入に悪用される可能性のあるサービス ポートの露出を懸念する必要がなくなります。拠点のすべての通信はZero Trust Exchangeでプロキシされ、プリント サーバーとリモート プリンターもこれによって接続されます。ユーザー、IoT/OTデバイス、サーバーなど、すべてのエンティティーにゼロトラスト セキュリティを拡張することで、全体のセキュリティを強化できます。
Zero Trust SD-WANによるサイト間VPNのリプレース
従来のSD-WANは、IPsec VPNトンネルを使用してサイト(拠点、工場、データ センターなど)を接続します。オーバーレイ ルーティングによって、あらゆるデバイスが他のデバイス、サーバー、アプリと通信することが可能になり、ユーザー、デバイス、アプリ間でのアクセス性が担保される一方、攻撃者もネットワーク内の他のリソースに簡単にアクセスできるようになってしまいます。
Zero Trust SD-WANでは、拠点のトラフィックをZero Trust Exchangeに直接転送し、Zscaler Internet Access (ZIA)またはZscaler Private Access (ZPA)のポリシーを適用して、完全なセキュリティ検査とアイデンティティーベースのアクセス制御を行うことができます。柔軟な転送とシンプルなポリシー管理を実現するゼロトラスト ネットワーク オーバーレイにより、拠点の通信を劇的に簡素化することが可能です。
Zero Trust SD-WANによるM&Aの簡素化
2つの企業を1つの事業体に統合することで、効率の向上や市場でのプレゼンス強化などのメリットを得られることがあります。ただし、新しいシステムやルーティング ドメインを既存の環境に統合するプロセスには、時間と労力を要し、完了までに数か月かかる場合もあります。Zscalerのソリューションを利用することで、M&Aに伴う統合プロセス全体をはるかにシンプルかつ迅速に進めることが可能です。
Zero Trust SD-WANでは、通信先はZero Trust Exchangeのみとなるため、既存のサイトと被買収企業のサイト間でのルーティング ドメインの統合は必要ありません。被買収企業のサイトにZero Trust SD-WANを展開することで、トラフィックをZero Trust Exchangeに送り、相手側からの接続を仲介して安全な通信を行うことができます。これにより初日から円滑な運用を行い、わずか数週間、あるいは数日で新たなサイトの環境を整備することが可能です。
仕組み
- ZPAポータルで定義されたアプリに合成IPアドレスが割り当てられます。
- 合成IPを使用してユーザーが新しいアプリへの接続を開始すると、その拠点のサイトのZero Trust SD-WANがZero Trust Exchangeにトラフィックを送信します。
- アプリがホストされている被買収企業のサイトでは、(Zero Trust SD-WANに組み込まれた) App ConnectorがZero Trust Exchangeへインサイドアウト接続を開始します。
- Zero Trust Exchangeがユーザーからアプリへの接続を仲介します。
まとめ
組織には増大する今日のサイバー脅威から身を守るためのネットワーク ソリューションが必要ですが、従来のSD-WANではセキュリティ リスクとネットワークの複雑性を高めてしています。一方、Zero Trust SD-WANはゼロトラストの原則をWANに拡張して、ユーザー、IoT/OTデバイス、サーバーを安全に接続します。拠点、工場、データ センターのセキュリティを強化するには、暗黙の信頼に基づく従来のフラットなネットワークからゼロトラスト ネットワークへの移行が必要です。Zero Trust SD-WANを導入することで、サイバー リスクの軽減、コストと複雑性の低減、ビジネス アジリティーの向上、シングルベンダーで構築するSASEソリューションの実現など、多くのメリットを得られます。
詳細はZscaler Zero Trust SD-WANのページでご確認ください。