#author("2021-02-13T14:32:17+00:00","default:admin","admin") -[[なぜ、いまゼロトラストなのか:https://news.mynavi.jp/series/zerotrust/]] *ゼロトラストネットワークの基本 [#jb51c6e9] 「デバイスがリソースにアクセスする際にその可否を判定する」 これを実現するには以下の3つの要素が必要。 -デバイスの状態や利用者などの「情報収集」。現在出回っている攻撃などの情報も集める。 -収集した情報と企業ネットワークのセキュリティポリシーを組み合わせて「アクセスレベルを決定」すること。 -決定したレベルに基づく「アクセス制御」を実現すること。 **NISTが定義する7原則 [#l3189a4f] -全てのデータソースと処理サービスをリソースと考える -ネットワークの場所に関係なく、全ての通信が保護される -リソースへのアクセスはセッションごとに許可される -リソースへのアクセスは動的なポリシーによって決定される -組織に関連する機器は可能な限り安全を保てるよう、継続的に監視する -リソースの認証と認可は動的に実現され、許可する前に厳密に適用される -ネットワークインフラとコミュニケーションの現状をできる限り収集する **7原則を実現するための具体的なアクション [#a665a610] -ネットワークのフローは処理前に認証する -ネットワークのフローは暗号化する -認証と暗号化をエンドツーエンドで実行する -全てのネットワークフローをアクセス制御の対象とする -デバイスの状態を定期的に収集する **導入する際のアプローチ [#z588b29c] 以下の3つの方式がある。 -IDガバナンスの拡張 -マイクロセグメンテーション -ソフトウェア定義による境界 *関連技術 [#ubbc629e] **IAM (Identity and Access Management) [#o6b83d32] **IAP (Identity Aware Proxy) [#iff7539e] **EDR (Endpoint Detection and Response) [#j1fc40e7] **MDM (Mobile Device Management) [#f7301bc9] **SIEM (Security Information Event Management) [#sd17542b] **CASB (Cloud Access Security Broker) [#bef03277] **SWG (Secure Web Gateway) [#q971d65d] **DLP (Data Loss Prevention) [#e47ec430]