レガシー ネットワーク: ゼロトラストが登場する前の環境とは
セキュリティ設計とゼロトラストの導入に対する考え方を変えるには、ゼロトラストが登場する前のセキュリティを理解すると役立ちます。
アウトサイド イン(外側から内側)へと設計された20世紀の階層ネットワークは、ユーザーを「信頼できる」人物と「信頼できない」人物とに分類する方法に基づいていましたが、残念ながらこの手法はセキュアでないことが証明されました。攻撃の巧妙化と内部関係者による脅威が高まるにつれ、組織のネットワーク内にあるものはすべて信頼できるという前提に基づいて運用することは、もはや現実的ではなくなっています。
一方、ゼロトラストを見てみましょう。「決して信頼せず、常に検証する」という原則に基づくゼロトラスト ネットワークは、セキュリティに対するアプローチが異なります。最も重要なデータに関するマイクロセグメンテーションときめ細かな適用の境界を利用することで、ゼロトラストは機密データの流出を防ぎ、脅威がネットワーク内で横方向に移動するのを阻止します。
残念ながら、従来のセキュリティ モデルの設計パラダイムから、難しい、コストがかかる、中断が生じると考えられているゼロトラストの導入に二の足を踏む企業は少なくありません。しかし実際のところ、ゼロトラストは従来のセキュリティ モデルよりもはるかに簡単に導入できます。セキュリティ設計に対する考え方を変え、ゼロトラストの導入に関する汚名をいくつか返上するには、ゼロトラストが登場する前に遡ってセキュリティを理解することが重要になります。
まず、キャリアがネットワーク回線をデータセンターに引き渡す、最も外側のエッジであるCPE(顧客所有の機器)でのネットワーク設計から始めました。その後、ルーターに挿入する必要があるカードを把握します。その時点で、相互接続する必要のあるネットワークの種類が複数ありました。ルーターをインストールしたら、インフラストラクチャの構築に重点を置きました。コア スイッチ、分散スイッチ、そして大量のアクセス レイヤー スイッチをインストールしました。そしてそれらすべてのスイッチを、スパニング ツリーなどについて機能するネットワークが得られるまで常に心配しながら構成しました。その時点で作業が完了し、ネットワーク ユーザーが任意の場所のネットワークに接続できるよう招待されます。
最終的に、ワームやウイルスなどの脅威が発生し、ネットワーク セキュリティが必要であることが明らかになりました。必要に迫られて、レイヤー3のステートフル パケット フィルタリング ファイアウォールをインストールして、基本的な入口フィルタリングを提供するとともに、それを細かく構成することで「不正でない」トラフィックをブロックしないようにしました。何よりも重要な懸念は、過剰なセキュリティによってネットワークのパフォーマンスが低下して、それがセキュリティより優先されると認識されることでした。今でさえ、多くの組織が効率とセキュリティのバランスを見つけるのに苦戦しているほどです。
この従来のモデルでは、ユーザーのIDが侵害されておらず、すべてのユーザーが責任を持って行動することを前提としています。ユーザーが「信頼できる」場合、そのユーザーにはアプリケーションやデータへのアクセス権が付与されます。これまでの歴史から、信頼は脆弱性であり、悪用される可能性があることがわかっています。
ゼロトラストは、従来のモデルを反転させたものです。ネットワークは、それらの要素を中心に保護および設計される必要のあるデータや資産から始まり、アウトサイド インではなくインサイド アウト(内側から外側)へ設計されます。ゼロトラストは、ネットワークから信頼モデルを排除して、データ侵害や有害なネットワーク イベントに対する高度できめ細かな保護を実現します。ゼロトラスト ネットワークを適切に設計するには、設計者やアーキテクトがインサイド アウトの考え方を学ぶ必要があります。
ゼロトラスト ネットワークの導入を簡素化する方法のより詳しい解説については、「5ステップ方法論によるゼロトラスト導入の簡素化」をご覧ください。