ゼロ トラスト技術の柱パート 2
このユニットでは、引き続き、ゼロ トラスト デプロイの残りの目標について説明します。
ゼロ トラストを使用してデータをセキュリティで保護する
データ保護戦略の 3 つの主要な要素は次のとおりです。
- データを把握する - オンプレミスとクラウド サービスに含まれる機密データがわからない場合は、適切に保護できません。 組織全体のデータを検出し、すべてのデータを秘密度レベルで分類する必要があります。
- データを保護し、データ損失を防ぐ - 機密データは、データにラベルを付けて暗号化したり、過剰共有をブロックしたりするデータ保護ポリシーによって保護する必要があります。 これにより、企業環境の外部にデータが移動した場合でも、承認されたユーザーのみが確実にデータにアクセスできるようになります。
- 監視と修復 - 機密データを継続的に監視して、ポリシー違反と危険なユーザー動作を検出する必要があります。 これにより、アクセスの取り消し、ユーザーのブロック、保護ポリシーの調整など、適切なアクションを実行できます。
データのゼロ トラスト展開の目標
情報保護戦略には、組織のデジタル コンテンツ全体を含める必要があります。 ベースラインとして、ラベルを定義し、機密データを検出し、環境全体でラベルとアクションの使用を監視する必要があります。 秘密度ラベルの使用については、このガイドの最後で説明します。
データに対してエンドツーエンドのゼロ トラスト フレームワークを実装する場合は、最初に次の 初期デプロイ目標に焦点を当てることをお勧めします。
一 アクセスの決定は暗号化によって管理される。
II. データの分類、ラベル付けを自動で行う。
これらが完了したら、次の 追加の展開目標に焦点を当てます。
III. 分類は、スマートな機械学習モデルによって強化される。
IV. アクセスの決定は、クラウド セキュリティ ポリシー エンジンによって管理される。
V. 秘密度ラベルとコンテンツ検査に基づく DLP ポリシーでデータ漏洩を防止する。
ゼロ トラストでエンドポイントをセキュリティで保護する
ゼロ トラストは、「決して信頼せず、常に確認する」という原則を順守します。エンドポイントにおいては、"すべての" エンドポイントを常に確認することを意味します。 これには、請負業者、パートナー、ゲスト デバイスだけでなく、デバイスの所有権に関係なく、従業員が作業データにアクセスするために使用する アプリ とデバイスも含まれます。
ゼロ トラスト アプローチでは、デバイスが会社所有か、Bring Your Own Device (BYOD) による個人所有か、つまり、デバイスが IT 部門によって完全に管理されているか、アプリとデータのみがセキュリティで保護されているかに関係なく、同じセキュリティ ポリシーが適用されます。 ポリシーは、セキュリティで保護された企業 ネットワーク、ホーム ブロードバンド、パブリック インターネットなど、PC、Mac、スマートフォン、タブレット、ウェアラブル、IoT デバイスが接続されている場所に関係なく、すべてのエンドポイントに適用されます。
エンドポイントのゼロ トラスト展開の目標
エンドポイントをセキュリティで保護するためのエンドツーエンドのゼロ トラスト フレームワークを実装する場合は、最初に次の 初期デプロイ目標に焦点を当てることをお勧めします。
一 エンドポイントはクラウド ID プロバイダーに登録されている。 1 人のユーザーが使用する複数のエンドポイントにわたってセキュリティとリスクを監視するには、リソースにアクセスしている可能性のあるすべてのデバイスとアクセス ポイントを 可視化 する必要があります。
II. アクセス許可は、クラウドで管理され、準拠しているエンドポイントとアプリにのみ与えられる。 アクセスが許可される前に、バイスが最小限のセキュリティ要件を満たしていることを確認するためのコンプライアンス規則を設定します。 また、非準拠デバイスの修復規則を設定して、問題の解決方法をユーザーが知ることができるようにします。
III. データ損失防止 (DLP) ポリシーは、企業のデバイスと BYOD に適用される。 ユーザーがアクセスを許可された後にデータを使用して何を実行できるかを制御します。 たとえば、データを保護するために、信頼できない場所 (ローカル ディスクなど) へのファイルの保存を制限したり、コンシューマー通信アプリやチャット アプリとのコピーと貼り付けによる共有を制限したりできます。
これらが完了したら、次の 追加の展開目標に焦点を当てます。
IV. デバイスのリスクを監視するためにエンドポイントの脅威の検出が使用される。 1 つのウィンドウを使用してすべてのエンドポイントを一貫した方法で管理し、SIEM を使用してエンドポイントのログとトランザクションをルーティングし、アラートの数を減らす一方で、実用的なアラートを取得する。
V. アクセス制御は、企業のデバイスと BYOD の両方のエンドポイントのリスクに応じてゲート制御される。 Microsoft Defender for Endpoint またはその他の Mobile Threat Defense (MTD) ベンダーからのデータを、デバイス コンプライアンス ポリシーおよびデバイス条件付きアクセス規則の情報ソースとして統合します。 そうすると、デバイスのリスクは、そのデバイスのユーザーがアクセスできるリソースに直接影響します。
ゼロ トラストでインフラストラクチャをセキュリティで保護する
Azure Blueprints、Azure Policy、Microsoft Defender for Cloud、Microsoft Sentinel、Azure Sphere によって展開したインフラストラクチャのセキュリティが大幅に向上し、これまでと異なる手法によってインフラストラクチャを定義、設計、プロビジョニング、展開、監視できます。
インフラストラクチャのゼロ トラスト展開の目標
インフラストラクチャを管理および監視するためのエンドツーエンドのゼロ トラスト フレームワークを実装する場合は、最初に次の 初期デプロイ目標に焦点を当てることをお勧めします。
一 ワークロードを監視し、異常に対して警報を出す。
II. すべてのワークロードにアプリ ID を割り当て、一貫性のある構成、展開を行う。
III. 人がリソースにアクセスするには、Just-In-Time が必要。
これらが完了したら、次の 追加の展開目標に焦点を当てます。
IV. 未認可の展開を阻止して警報を出す。
V. すべてのワークロードで詳細な可視化とアクセス制御を行う。
VI. ユーザーとリソースへのアクセス権をワークロードごとにセグメント化する。
ゼロ トラストでネットワークをセキュリティで保護する
エンドツーエンドのゼロ トラスト戦略では、企業のファイアウォールの背後にあるすべてのものが安全であると考えるのではなく、侵害は避けられないと想定しています。 つまり、各要求が制御されていないネットワークから送信されたかのように検証する必要があります。ID 管理は、この中で重要な役割を果たします。
ネットワークのゼロ トラスト展開の目標
ネットワークをセキュリティで保護するためのエンドツーエンドのゼロ トラスト フレームワークを実装する場合は、最初に次の 初期展開目標に焦点を当てることをお勧めします。
一 ネットワークのセグメント化: マイクロセグメント化を使用した多くのイングレス/エグレス クラウド マイクロ境界。
II. 脅威防止: 既知の脅威に対するクラウド ネイティブのフィルター処理と保護。
III. 暗号化: ユーザーからアプリへの内部トラフィックは暗号化される。
これらが完了したら、次の 追加の展開目標に焦点を当てます。
IV. ネットワークのセグメント化: 完全に分散されたイングレス/エグレス クラウド マイクロ境界とより深いマイクロセグメント化。
V. 脅威防止: 機械学習ベースの脅威防止とコンテキストベースのシグナルによるフィルター処理。
VI. 暗号化: すべてのトラフィックを暗号化。