セキュリティ
文:Tobias Mann

SASEだけでは不十分、ゼロトラストが深く根ざすことが必要=米NetFoundryのCEO

SASEだけでは不十分、ゼロトラストが深く根ざすことが必要=米NetFoundryのCEO

2021年に起きた大規模なサイバーセキュリティインシデントを振り返ってみると、2つのことが分かるという。SASE(Secure Access Service Edge)はユーザー・アプリケーション間の通信を保護するのに有効であること、その一方で脅威アクターを排除するのには不十分だということだ。米NetFoundryのCEO、Galeal Zino氏が語った

2021年の大きなサイバー攻撃はいずれもユーザー・アプリケーション間ではなく、氷山の水面下の本体とでも言うべき部分、サーバとサーバの間やWebサーバとデータベースの間など、そういった部分のあらゆる箇所で起きています」。氏はSDxCentralに語った。

だからといって、SASEが不要であるとか効果がないというわけではない、とZino氏は言う。「それだけでは十分ではないということです」

問題なのは、攻撃者が企業の既存のインフラや開発環境を悪用する手段が他にもたくさんあることだという。SASEでアプリケーションのフロントエンドを保護することはできるかもしれないが、背後にある依存関係やデータベース、APIは依然として攻撃に対して脆弱なままだ。この問題に対処するには、「セキュリティを開発サイクルの中心に据える」ことが必要となる。

 

アプリケーション、APIレイヤーでのゼロトラスト

NetFoundry社ではオープンソースのゼロトラストネットワークオーバーレイ「Ziti」を開発、課題解決に取り組んでいる。

Zitiではアプリケーションへのインバウンド通信に対して全ファイアウォールポートを閉鎖、必要な数の軽量コンテナ化ルータを配置することでフロントエンドやバックエンドデータベースといったアプリケーションコンポーネント間、アプリケーションと外部 API 間のトラフィックフローを制御する。

このルータはワークロード間の接続に対し、最小限のアクセス権限に基づいて適切に識別・許可されたものだけを受け入れる。これによって相互通信することが明確に意図されたワークロードのみが通信可能になり、攻撃対象領域を大幅に縮小することができるという。「このアプリケーションにはこのデータベースとの通信が必要だが、それ以外のものと通信する必要はない、という具合です」。

Zino氏の説明によると、これは有料道路のようなもので、全ての流入ランプ・流出ランプで料金所のオペレータが身元を確認、目的地への通行が許可されているかどうかを判断している状態と考えることができるという。つまり、攻撃者がシェルスクリプトで書かれたランサムウェアをネットワークに侵入させることに成功したとしても、本体部分をロードする通信が不可能なため、事実上隔離された状態になるということだ。仮に通信ができたとしても、ネットワーク上を横方向に移動することはできない。

「要は、当社がやろうとしているのは攻撃者にとって企業を狙うのは非常にコストが高くつく状態にすることなのです」と氏は言う。「現在私たちが苦労しているのは、企業が格好の標的になっているからです。あまりにもたやすいのです……(中略)……コストや時間がかかり、手の届かない標的になることができれば、攻撃者は他の獲物を探しに行くでしょう」

 

APIセキュリティの課題

社内に導入する場合、Zitiの導入は比較的簡単だ。コンテナや仮想マシンによってデバイスレベルで展開、あるいはZiti SDKを利用してアプリケーションレベルで展開できる。

Zino氏によると、複雑になるのは顧客が自社でコントロールしていないサービス上にZitiを導入したい場合だという、例えばサードパーティ製品とのAPI統合だ。

Zitiを利用するには、APIプロバイダがNetFoundry社のSDKを統合する必要がある。プライベートAPIプロバイダ数社から同意を得ている一方で、パブリックAPIに関しては遅々として進んでいないという。

自社のプライベートAPIZitiを利用している例として、英Ozone APIがある。これによって自社のコントロールプレーンと顧客のKubernetes環境の間でのセキュアな通信を保証している。

APIレベルでの導入に必要な労力を最小化する手段も講じてきた。「ターンキー方式にするために全力を尽くしています」とZino氏は言う。「一般的なWebアプリケーションがドライバや仮想NICにパケットを送るためにネットワークアドレスを指定する際の仕組みは、ほとんどの場合、おおむね共通したものになっています」。「当社のコードはそのラッパーにすぎません」

「これは界隈にとって非常に魅力的な話だと言えます。デバイスにクライアントやエージェントをインストールするように依頼する必要がなくなるのです」。氏は補足している。

https://www.sdxcentral.com/articles/news/netfoundry-ceo-sase-isnt-enough-zero-trust-must-go-deeper/2022/01/

Tobias Mann
Tobias Mann Editor

Tobias Mann is an editor at SDxCentral covering the SD-WAN, SASE, and semiconductor industries. He can be reached at tmann@sdxcentral.com

Tobias Mann
Tobias Mann Editor

Tobias Mann is an editor at SDxCentral covering the SD-WAN, SASE, and semiconductor industries. He can be reached at tmann@sdxcentral.com

記事一覧へ