パートナーに過剰なアクセス権が付与されている現状
多くの企業がサードパーティーのパートナーからのセキュリティ侵害を経験しています。認証情報の窃取やデバイスの感染はネットワークをリスクにさらし、機密データを流出させるため、多額の損害を被る可能性があります。
ほとんどのリモート アクセス ソリューションでは、サードパーティーのパートナーにネットワークへのフルアクセスが許可されていますが、管理者は企業のネットワークに接続するパートナーやデバイスを制御できないため、これらの過剰なアクセス付与は企業にとって大きなリスクとなります。
それでは、強力で生産性の高いパートナーシップを育成しながら、ネットワークやプライベート アプリケーションも保護するには、どうすればよいのでしょうか?
アプリへのアクセスが必要なパートナーにネットワーク全体へのアクセスは不要
水平移動できる完全なネットワーク アクセスをパートナーにまで拡張するのは危険ではありますが、一部のプライベート アプリへのアクセスを許可しなければならないケースもあります。その解決策となるのが、アプリケーションのアクセスをネットワークから切り離し、個々のユーザーやアプリに基づいてアクセスをセグメント化することです。これを唯一可能にするのが、ゼロトラスト ネットワーク アクセス(ZTNA)です。
ほとんどのリモート アクセス ソリューションがネットワーク中心であるのに対し、ZTNAはユーザーと承認されたエンタープライズ アプリケーションの間に安全な接続を確立し、ネットワークには一切接続させません。過剰な権限をサードパーティーに付与することで生じるリスクを軽減しながら、セキュリティを維持するマイクロセグメント化されたアクセスを実現します。
セキュリティ
導入前:ネットワークを水平移動できるアクセスがサードパーティーに付与されていたため、ネットワークが不要なリスクにさらされていた。
導入後:ZTNAではサードパーティーは、ネットワークではなく、許可されたプライベート アプリケーションにのみアクセスできる。
シンプル
導入前:リモート アクセスでは、管理対象デバイスあるいは個人のデバイスにクライアントをダウンロードする必要があった。
導入後:ブラウザー アクセスにより、パートナーの安全なアクセスがシームレスに可能になり、ユーザーはデバイスや場所に関係なく、ブラウザー経由で許可されたアプリにアクセスできる。
可視性とコントロール
導入前:リモート アクセス ソリューションでは、パートナーのアクティビティーを可視化できるのはIPアドレスとポート データのみに限定されていた。
導入後:ZTNAがユーザー、デバイス、指定したアプリのレベルまで、パートナーのあらゆるアクティビティーを包括的に可視化する。
ZTNAでサードパーティーのリスクを解消
Zscaler Private Access™は世界で最も導入されているZTNAサービスであり、ユーザーとアプリケーション中心のアプローチでネットワーク セキュリティを強化します。ネットワークへのアクセスは一切提供せず、許可されたユーザーだけが特定の内部アプリケーションにアクセスできるようにします。
ZPAは物理/仮想アプライアンスの代わりに、インフラに依存しない軽量のソフトウェアを使用します。これにブラウザー アクセスの機能を組み合わせ、Zscalerのセキュリティ クラウドに組み込まれたインサイドアウト接続経由で、あらゆるユーザーをアプリにシームレスに接続させます。
ソフトウェア定義の境界の概念
- ブラウザー アクセス サービスはトラフィックをIdPにリダイレクトして認証を行うため、デバイスのソフトウェア クライアントが一切不要になります。
- ZPA Public Service Edgeはユーザーとアプリ間の接続を保護し、カスタマイズされたすべての管理ポリシーを施行します。
- App Connectorはデータ センターやパブリック クラウドのアプリの前に配置されます。ブローカーにインサイドアウトTLS 1.3接続を提供し、アプリを見えなくすることでDDoS攻撃を阻止します。
「ZPAのクライアントレス アクセスを使用すれば、ユーザーを環境に接続させて、社内の登録サイトで2つ目の要素のトークンを登録させるという作業が不要になります」
- NOV、ITセキュリティ ディレクター、Casey Lee氏
ブラウザー アクセスでパートナーにセキュアなアクセスを提供
ZPAのブラウザー アクセスにより、クライアントを必要とすることなく、安全なアプリケーション アクセスがサードパーティーのパートナーとユーザーの両方に許可されます。パートナーは自分のデバイスを使用して、インターネット経由でプライベート アプリに簡単にアクセスできると同時に、企業はそのアクセスをきめ細かく制御できるため、ユーザーは時間、場所、デバイスに左右されることなくプライベート アプリケーションに接続できます。