- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2021-01-27T12:06:51+00:00","default:admin","admin")
#author("2021-02-13T14:32:17+00:00","default:admin","admin")
-[[なぜ、いまゼロトラストなのか:https://news.mynavi.jp/series/zerotrust/]]
*ゼロトラストネットワークの基本 [#jb51c6e9]
「デバイスがリソースにアクセスする際にその可否を判定する」
これを実現するには以下の3つの要素が必要。
-デバイスの状態や利用者などの「情報収集」。現在出回っている攻撃などの情報も集める。
-収集した情報と企業ネットワークのセキュリティポリシーを組み合わせて「アクセスレベルを決定」すること。
-決定したレベルに基づく「アクセス制御」を実現すること。
**NISTが定義する7原則 [#l3189a4f]
-全てのデータソースと処理サービスをリソースと考える
-ネットワークの場所に関係なく、全ての通信が保護される
-リソースへのアクセスはセッションごとに許可される
-リソースへのアクセスは動的なポリシーによって決定される
-組織に関連する機器は可能な限り安全を保てるよう、継続的に監視する
-リソースの認証と認可は動的に実現され、許可する前に厳密に適用される
-ネットワークインフラとコミュニケーションの現状をできる限り収集する
**7原則を実現するための具体的なアクション [#a665a610]
-ネットワークのフローは処理前に認証する
-ネットワークのフローは暗号化する
-認証と暗号化をエンドツーエンドで実行する
-全てのネットワークフローをアクセス制御の対象とする
-デバイスの状態を定期的に収集する
**導入する際のアプローチ [#z588b29c]
以下の3つの方式がある。
-IDガバナンスの拡張
-マイクロセグメンテーション
-ソフトウェア定義による境界
*関連技術 [#ubbc629e]
**IAM (Identity and Access Management) [#o6b83d32]
**IAP (Identity Aware Proxy) [#iff7539e]
**EDR (Endpoint Detection and Response) [#j1fc40e7]
**MDM (Mobile Device Management) [#f7301bc9]
**SIEM (Security Information Event Management) [#sd17542b]
**CASB (Cloud Access Security Broker) [#bef03277]
**SWG (Secure Web Gateway) [#q971d65d]
**DLP (Data Loss Prevention) [#e47ec430]
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
