イントラネット/内部ネットからクラウドアクセスまで一貫した「ゼロトラスト」の実現

　ネットワークのセキュリティ対策として「ゼロトラスト」という言葉が広く使われています。お客様からも「ゼロトラスト化したい」というご要望をいただくことが非常に増えています。しかし、「ゼロトラスト」はセキュリティモデルにおける概念であり、昨今のパブリッククラウドの利活用や働き方改革/DXの一環でのテレワークなどにより、内部リソースがインターネット上に存在するようになり、「守るべきもの」がインターネット上に存在するなどITインフラが複雑になり従来のセキュリティモデルである「境界面セキュリティ」では対応が厳しくなってきているので、「ゼロトラスト」は今後ネットワークインフラとセキュリティの検討においては非常に重要な概念であることは間違いありません。

　業界ではゼロトラストネットワークアーキテクチャ/ZTNAということで、SWG/SSE/SASEなどのクラウドソリューションが市場に多く提供されています。そのため「ゼロトラスト」はクラウドサービスとして提供されるという認識が広まっているようです。上述したように「ゼロトラスト」が必要になる背景としてパブリッククラウドの利用の促進があり、そのためにSWG/SSE/SASEが相性がよいということ言えると思います。しかし、公共市場は特にですが、クラウド化はまだ部分的であり、オンプレのシステムがまだまだ多いため、SWG/SSE/SASEはテレワーク/リモートアクセスとインターネットアクセスに対するセキュリティ対策として導入されているケースも多いようです。

　また、クラウドアクセスのトラフィック量の増加により、「ブレイクアウト」の検討も進んでいるようです。SASEでは拠点の接続も可能ですので、下記のようにイントラネット/WANを見直すとともに、セキュアにローカルブレイクアウトさせる実装も可能です。

　しかし、SWG/SSE/SASEを導入し、テレワーク対応や拠点からクラウドアクセスをブレイクアウトすれば「ゼロトラスト」化は完了でしょうか？

まだオンプレのサーバーやシステムが残っている場合、イントラネット/内部ネットワークを「信用」してませんか？

「ゼロトラスト」とは「すべてのネットワークを信用しないこと」であり、イントラネット/内部ネットワークも例外ではありません。

昨今のランサムウェアなどの潜伏型マルウェアによるラテラルムーブメント(横感染)で内部リソースへの不正アクセスも深刻な被害をもたらします。

つまり、クラウドベースのSWG/SSE/SASEを導入するだけでは「ゼロトラスト」化としては片手落ちであるといえます。

■イントラネット/内部ネットワークの「ゼロトラスト」化の実現

　今まで自治体、教育委員会や病院などでは個人情報を守るために「インターネット分離」を行ってきていました。しかし、昨今はパブリッククラウドの利活用、テレワークの促進、DX推進などで、「インターネット分離」から「アクセス制御」へシフトしてきています。そのため、イントラネットに対しても「ゼロトラスト」が必要になってきています。イントラネット/内部ネットワークの通信をゼロトラスト化するためにわざわざクラウドサービスを利用してトラフィックを一旦外に出すというのは非常にナンセンスな話です。

　パロアルトネットワークスが提案/提供するイントラネットの「ゼロトラスト」化の実現方法は次世代ファイアウォールPAシリーズを活用する方法です。これは実は2017年に「大学キャンパスネットワークにてPAシリーズをL3コアスイッチとして活用」として記事を投稿しましたが、当時は「ゼロトラスト」という言葉も市場でもほとんど使われていませんでしたが、その必要性については継続的に提案しております。

■イントラネットからクラウドアクセスまで一貫した「ゼロトラスト」を実現

　イントラネット内でのL3スイッチとしてPAシリーズを利用することで、イントラネット内の通信でもIPサブネットを超える通信に対してはPAシリーズにてユーザ認証に基づくアクセス制御や各種脅威防御を行うことができます。また、Prisma AccessのデータプレーンもPAシリーズと同じPAN-OSであり、PAシリーズとの親和性も非常に高いです。トラフィックの可視化やセキュリティポリシーの設定、さらに「ゼロトラスト」の実現のためには必須のやユーザ認証やユーザベースのアクセス制御についても一貫したポリシーの定義が可能です。

■運用管理面でも進化したStrata Cloud Manager

 　PAシリーズやPrisma Accessの運用管理面において、PanoramaであればPAシリーズおよびPrisma Accessのポリシー制御やログ管理などを統合できました。引き続きPanoramaを利用していただくのも悪くはないですが、従来のクラウド管理のStrata Cloud ManagerでもオンプレのPAシリーズのポリシー管理が可能となっており、さらにログ管理/可視化ツールなどの機能強化が行われ、下記のようなCommnad Centerが追加され、完全にPAシリーズ(NGFW)とPrisma Accessが統合され、一貫してトラフィックや脅威検知状況の可視化や管理できるようになっています。Command Centerにてイントラネット/内部ネットワークから、テレワークからパブリッククラウド、インターネットアクセスなどすべてのネットワーク利用状況や脅威検知状況が確認できるようになっています。

いかがでしょうか？

「ゼロトラスト」というキーワードが非常に多く聞かれるようになってきていますが、「ゼロトラスト」ソリューションを市場でけん引しているのはクラウドベースのソリューションばかりで、そちらにばかり目が行きます。しかし、「ゼロトラスト」は概念であり、どこに何のためにどのように「実装」するかでその効果やセキュリティレベル、そして運用負担は大きく変わってきます。今後ともDX化やパブリッククラウド、テレワークが普及していく中で、ネットワークインフラやセキュリティに対する考え方や構築方法も見直すべき時に来ているといえます。多くのソリューションを組み合わせて大きなネットワークインフラを構築して複雑な運用を行うことは人材面からも困難になりつつあります。ネットワークインフラの更改や見直し時にはぜひ「一貫したゼロトラスト」も検討していただければ幸いです。