コミュニティ
HPE Blog, Japan
1819872 メンバー
2682 オンライン
109607 解決策
新規ポスト
 
RSS フィードを購読する
|
Aruba_Japan

【連載 : Security-First vol.2】SASEを補完するCampus LANのゼロトラスト

‎02-05-2024 09:30 AM

前回のvol.1でSecurity-First Networkingの概要について紹介しました。
今回は、HPE Aruba Networkingの最も特徴的で強みとしているCampus LANのセキュリティ、ゼロトラストについて紹介しようと思います。

SASE, EDR だけでは不十分?
昨今、ゼロトラストの概念を取り入れる動きはかなり強くなっている印象ですが、その多くがクラウドへのアクセスや、外部からのリモートアクセスなど、内部↔︎外部中心の対策にとどまっている印象です。SASEを中心としたクラウドセキュリティも、その対策の主は、内部↔︎外部のセキュリティです。HPEもSASEソリューションを提供しているので、SASEそのものを否定することは全くありませんが、ゼロトラストのセキュリティ対策としてSASEだけでは不十分です。
特にランサムウェアなど、一度内部に侵入した後に内部で増殖する(ラテラルムーブ)場合、SASEだけで対応することは不可能です。EDRのようなエンドポイントセキュリティが有効なケースもありますが、EDRをインストールすることができない端末への対策はできません。
ゼロトラストの最も重要な点は、何も信じず、脅威は既に侵入している前提でセキュリティ対策を講じることです。その点を考えると、SASEやEDRはゼロトラストの重要のコンポーネントにはなりますが、それだけでゼロトラストのセキュリティ対策が十分に実現できるとは言えません。
SASE_EDRの限界.png

Campus LAN のゼロトラスト
そこで重要になってくるのがネットワークです。端末が直接接続する Wi-Fi やスイッチに通信をブロックするファイアウォールの機能があれば、社内の他の端末からのアクセスをブロックしたり、ランサムウェアのラテラルムーブを止めることができます。これがSASEでカバーできない領域を保管する、Campus LANのゼロトラストです。
Campus_LAN_ZeroTrust.png
一般的なWi-FiのAPやスイッチにはアクセスコントロールリスト(ACL)の機能があり、ACLの設定で通信制御をしていますが、このACLはステートフルではなく、接続している端末から外部へのアクセスを制御するために利用されています。つまりゼロトラストで重要な、不明な通信をブロックすることができません
HPE Aruba NetworkingのCampus向けのソリューションはWi-Fiはステートフルサービスが内蔵されています。スイッチはステートフルサービス内蔵だと高額になるため、上記の右にある通り、必要に応じてゲートウェイとトンネル接続し、そこでステートフルサービスを適用することができます。
もう一つ重要な要素が、ネットワークに接続済みの端末がC&Cなど外部の不正なサイトにアクセスしてマルウェアに感染した場合の対応です。C&Cなど不正なサイトへのアクセス自体をUTMで止めることができれば問題ありませんが、未知の脅威の場合はSandboxなどリアルタイムに検知することはできず、脅威は一度中に侵入してしまいます。ゼロトラスト対策ではこのケースの対策も考える必要があります。

Dynamic Authorization(動的認可)
ネットワーク接続、アクセス制御で重要な要素は認証と認可です。認証で正しい端末・ユーザの接続を許可し、認可で端末・ユーザの属性情報に応じたアクセスする先を定め、ネットワークデバイスが認可情報を元にアクセス制御を行います。このネットワークの認証と認可を行うのが、認証サーバ(RADIUSサーバ)です。Aruba ClearPassをはじめとする企業向けの認証サーバであれば、認証と認可に加え、Dynamic Authorization (動的認可)の機能があります。RADIUS Chage of Authorization (CoA) とも呼んでいます。
Dynamic Authorization の機能は、その名の通り、接続済みの端末であっても、動的に認可情報を変更することができます。例えば、UTMのSandbox機能などでマルウェアに感染した端末ということが分かれば、その通知を元に認証サーバがWi-FiやスイッチにDynamic Authorizationの信号を送り、ネットワークレベルで隔離や遮断することが可能です。 
Dynamic_Authorization.png
Dynamic Segmentation
認証・認可を元にしたネットワークのアクセス制御と、Dynamic Authorizationを組み合わせたソリューションがHPE Aruba NetworkingのDynamic Segmentation です。このソリューションにより、米国国立標準技術研究所(NIST)がゼロトラストのガイドラインとして発行している NIST-SP800-207 Zero Trust Architecture をCampus LANに実装することができま、より強固なゼロトラストネットワークを実現することができます。次回は、このDynamic Segmentationについて解説してみたいと思います。
Dynamic_Segmentation.png

Aruba事業統括本部 テクノロジーコンサルティング部
下野慶太

ラベル:
0 感謝
作者について

Aruba_Japan

HPE Aruba Networking 事業部は Edge-to-Cloud に最適なネットワークソリューションを提供しています。快適なネットワークライフを実現するための情報を発信していきます。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります