ゼロ トラストを使用してネットワークをセキュリティで保護する

ビッグ データは、新しい分析情報を導き出し、競争力を得る新しい機会を提供します。 ネットワークが明確に定義され、通常は特定の場所に固有の時代から遠ざかっています。 クラウド、モバイル デバイス、その他 のエンドポイントは境界 を広げ、パラダイムを変えます。 セキュリティで保護する包含/定義されたネットワークが存在するとは限りません。 代わりに、デバイスとネットワークの膨大なポートフォリオがあり、すべてクラウドによってリンクされています。

企業のファイアウォールの背後にあるすべてのものが安全であると考える代わりに、エンドツーエンドのゼロ トラスト戦略では、侵害は避けられないと見なされます。 つまり、各要求が制御されていないネットワークから送信されたかのように確認する必要があります。ID 管理は、この中で重要な役割を果たします。

ゼロ トラスト モデルでは、ネットワークのセキュリティ保護に関して次の 3 つの重要な目標があります。

  • 攻撃が発生する前に対処する準備を整えます。

  • 被害の程度と拡散速度を最小限に抑えます。

  • クラウドフットプリントを侵害する難易度を高めます。

これを実現するために、次の 3 つのゼロ トラスト原則に従います。

  • 明示的に確認します。 ユーザー ID、場所、デバイスの正常性、サービスまたはワークロード、データ分類、異常など、使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。

  • 最小特権アクセスを使用します。 Just-In-Time と Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、データ保護を使用してユーザー アクセスを制限し、データと生産性の両方を保護します。

  • 違反を想定します。 ネットワーク、ユーザー、デバイス、およびアプリケーション認識によってアクセスをセグメント化することで、侵害の爆発半径を最小限に抑え、横方向の移動を防ぎます。 すべてのセッションがエンドツーエンドで暗号化されていることを確認します。 分析を使用して 可視性を取得し、脅威の検出を促進し、防御を改善します。

ネットワークゼロ トラストデプロイの目標

ほとんどの組織は、ゼロ トラスト体験を開始するに、次の特徴を持つネットワーク セキュリティを持っています。

  • ネットワーク セキュリティ境界が少なく、フラット ネットワークを開きます。

  • 最小限の脅威保護と静的トラフィック のフィルター処理。

  • 暗号化されていない内部トラフィック。

ネットワークをセキュリティで保護するためのエンド ツー エンドのゼロ トラスト フレームワークを実装する場合は、最初にこれらの初期デプロイの目的に焦点を当てることをお勧めします。

List icon with one checkmark.

I.Networkセグメント化: 多くのイングレス/エグレス クラウドのマイクロ境界と、いくつかのマイクロ セグメント化。

II。脅威の保護: クラウド ネイティブ のフィルター処理と既知の脅威に対する保護。

III。暗号化: ユーザーからアプリへの内部トラフィックが暗号化されます。

これらが完了したら、次の 追加のデプロイ目標に焦点を当てます。

List icon with two checkmarks.

IV。ネットワークセグメント化: 完全に分散されたイングレス/エグレス クラウドのマイクロ境界と、より深いマイクロセグメント化。

V.ThreatProtection: 機械学習ベースの脅威の保護と、コンテキスト ベースのシグナルによるフィルター処理。

VI。暗号化: すべてのトラフィックが暗号化されます。

ネットワークゼロ トラスト展開ガイド

このガイドでは、ゼロ トラスト セキュリティ フレームワークの原則に従ってネットワークをセキュリティで保護するために必要な手順について説明します。




Checklist icon with one checkmark.

初期デプロイの目標

私。 ネットワークセグメント化: 多くのイングレス/エグレス クラウドのマイクロ境界と、いくつかのマイクロセグメント化

組織は、ネットワークに出入りする 1 つの大きなパイプを持つだけではありません。 ゼロ トラストアプローチでは、ネットワークは代わりに、特定のワークロードが含まれる小さな島にセグメント化されます。 各セグメントには、データへの不正アクセスの"爆発半径" を最小限に抑えるために、独自のイングレスとエグレスの制御があります。 細かい制御を使用してソフトウェア定義の境界を実装することで、承認されていないアクターがネットワーク全体に伝達する難易度を高め、脅威の横移動を減らします。

すべての組織のニーズに合ったアーキテクチャ設計はありません。 ゼロ トラスト モデルに従ってネットワークをセグメント化するためのいくつかの一般的な設計パターンの間にオプションがあります。

このデプロイ ガイドでは、マイクロ セグメント化のいずれかの設計を実現するための手順について説明します。

マイクロ セグメント化を使用すると、組織は単純な一元化されたネットワーク ベースの境界を超えて、ソフトウェア定義のマイクロ境界を使用して包括的かつ分散されたセグメント化に移行できます。

アプリケーションは異なる Azure Virtual Networks (VNet) にパーティション分割され、ハブスポーク モデルを使用して接続されます

Diagram of two virtual networks connected in a hub-and-spoke model.

次の手順に従います。

  1. さまざまなアプリケーションやアプリケーション コンポーネント用の専用仮想ネットワークを作成します。

  2. 中央の VNet を作成して、アプリ間接続のセキュリティ体制を設定し、 ハブアンドスポーク アーキテクチャでアプリ VNet を接続します。

  3. ハブ VNet にAzure Firewallをデプロイして、VNet 間のトラフィックを検査および管理します。

II。 脅威の保護: クラウド ネイティブ のフィルター処理と既知の脅威の保護

インターネットやオンプレミスのフットプリントなどの外部環境にエンドポイントを開放したクラウド アプリケーションは、これらの環境からの攻撃の危険にさらされます。 そのため、トラフィックをスキャンして悪意のあるペイロードまたはロジックをスキャンすることが不可欠です。

これらの種類の脅威は、2 つの大きなカテゴリに分類されます。

  • 既知の攻撃。 ソフトウェア プロバイダーまたは大規模なコミュニティによって検出された脅威。 このような場合は、攻撃署名を使用でき、各要求がそれらの署名に対して確認されるようにする必要があります。 重要なのは、新しく特定された攻撃で検出エンジンを迅速に更新できることです。

  • 不明な攻撃。 これらは、既知の署名とまったく一致しない脅威です。 このような種類の脅威には、0 日間の脆弱性と要求トラフィックの異常なパターンが含まれます。 このような攻撃を検出する機能は、防御が正常なものとそうでないものをどの程度よく把握しているかによって異なります。 防御は、ビジネス (および関連するトラフィック) の進化に伴うパターンを常に学習し、更新する必要があります。

既知の脅威から保護するには、次の手順を実行します。

  1. HTTP/S トラフィックを持つエンドポイントの場合は、次の方法で Azure Web Application Firewall (WAF) を使用して保護します。

    1. 既定のルールセットまたは OWASP 上位 10 個の 保護ルールセットを有効にして、既知の Web レイヤー攻撃から保護する

    2. ボット保護ルールセットをオンにして、悪意のあるボットが情報をスクレーピングしたり、資格情報の詰め込みなどを行うのを防ぎます。

    3. ビジネスに固有の脅威から保護するためのカスタム ルールを追加します。

    次の 2 つのオプションのいずれかを使用できます。

  2. すべてのエンドポイント (HTTP かどうか) の場合は、レイヤー 4 で脅威インテリジェンスベースのフィルター処理のAzure Firewallを使用します。

    1. Azure portalを使用してAzure Firewallをデプロイして構成します

    2. トラフィックに対して脅威インテリジェンスベースのフィルター処理を有効にします

III。 暗号化: ユーザーからアプリへの内部トラフィックが暗号化される

焦点を当てる 3 番目の最初の目的は、ユーザーからアプリへの内部トラフィックが暗号化されるように暗号化を追加することです。

次の手順に従います。

  1. Azure Front Door を使用して HTTP トラフィックを HTTPS にリダイレクトすることで、インターネットに接続する Web アプリケーションに HTTPS 専用通信を適用します。

  2. Azure VPN Gatewayを使用してリモート従業員/パートナーをMicrosoft Azure Connectします。

    1. Azure VPN Gateway サービス内のポイント対サイト トラフィックの暗号化を有効にします
  3. Azure Bastion 経由の暗号化された通信を使用して 、Azure 仮想マシンに安全にアクセスします。

    1. linux 仮想マシンに SSH を使用してConnectします。

    2. Windows仮想マシンに RDP を使用してConnectします。




Checklist icon with two checkmarks.

追加のデプロイ目標

IV。 ネットワークセグメント化: 完全に分散されたイングレス/エグレス クラウドのマイクロ境界とより深いマイクロセグメント化

最初の 3 つの目標を達成したら、次の手順ではネットワークをさらにセグメント化します。

アプリ コンポーネントを異なるサブネットにパーティション分割する

Diagram of a virtual network of servers in the Azure region.

次の手順に従います。

  1. VNet 内に 仮想ネットワーク サブネットを追加 して、アプリケーションの個別のコンポーネントに独自の境界を設定できるようにします。

  2. ネットワーク セキュリティ グループルールを適用 して、正当な通信相手として識別されたアプリ サブコンポーネントを持つサブネットからのトラフィックのみを許可します。

外部境界をセグメント化して適用する

Diagram of a servers and devices with connections across boundaries.

境界の種類に応じて、次の手順に従います。

インターネット境界
  1. ハブ VNet 経由でルーティングする必要があるアプリケーションにインターネット接続が必要な場合は、ハブ VNet の ネットワーク セキュリティ グループ規則を更新 して、インターネット接続を許可します。

  2. Azure DDoS Protection Standard を有効にして 、ボリュームネットワーク 層攻撃からハブ VNet を保護します。

  3. アプリケーションで HTTP/S プロトコルを使用している場合は、Azure Web Application Firewallを有効にしてレイヤー 7 の脅威から保護します。

オンプレミスの境界
  1. アプリでオンプレミス データ センターへの接続が必要な場合は、Azure VPN の Azure ExpressRoute を使用 してハブ VNet に接続します

  2. ハブ VNet でAzure Firewallを構成して、トラフィックを検査および管理します。

PaaS サービスの境界
  • Azure 提供の PaaS サービス (Azure Storage、Azure Cosmos DBAzure Web アプリなど) を使用する場合は、PrivateLink 接続オプションを使用して、すべてのデータ交換がプライベート IP 空間を経由し、トラフィックが Microsoft ネットワークから送信されないようにします。

V。 脅威の保護: 機械学習ベースの脅威の保護とコンテキスト ベースのシグナルによるフィルター処理

さらに脅威を保護するには、Azure DDoS Protection Standard を有効にして、Azure でホストされているアプリケーション トラフィックを絶えず監視し、ML ベースのフレームワークを使用して、ボリュームトラフィックのあふれをベースライン化して検出し、自動軽減策を適用します。

次の手順に従います。

  1. 構成と管理 Azure DDoS Protection Standard。

  2. DDoS 保護メトリックのアラートを構成します。

VI。 暗号化: すべてのトラフィックが暗号化されます

最後に、すべてのトラフィックが暗号化されていることを確認して、ネットワーク保護を完了します。

次の手順に従います。

  1. 仮想ネットワーク間のアプリケーション バックエンド トラフィックを暗号化します。

  2. オンプレミスとクラウドの間のトラフィックを暗号化します。

    1. ExpressRoute Microsoft ピアリング経由でサイト間 VPN を構成します。

    2. ExpressRoute プライベート ピアリングの IPsec トランスポート モードを構成します。

このガイドで取り上げる製品

Microsoft Azure

Azure Networking

仮想ネットワークとサブネット

ネットワーク セキュリティ グループアプリケーション セキュリティ グループ

Azure Firewall

Azure DDoS Protection

Azure Web Application Firewall

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

結論

ネットワークのセキュリティ保護は、成功したゼロ トラスト戦略の中心です。 実装に関する詳細またはヘルプについては、カスタマー サクセス チームにお問い合わせになるか、このガイドの他の章 (すべてのゼロ トラストの柱) を引き続き参照してください。



ゼロ トラストデプロイ ガイド シリーズ

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration