コミュニティ
HPE Blog, Japan
1767188 メンバー
5668 オンライン
108959 解決策
新規ポスト
 
RSS フィードを購読する
|
Aruba_Japan

【連載 : Security-First vol.3】Dynamic Segmentation で実現するCampus LAN のゼロトラスト

‎02-28-2024 10:24 AM

vol.1 でSecurity-First Networkingの概要、vol.2 でCampus LAN のゼロトラストの概要について紹介しました。
今回は、Campus LAN のゼロトラストをもう少し深掘りし、
HPE Aruba Networking が提供している、Dynamic Segmentation について紹介したいと思います。

Zero Trust Architecture 
ゼロトラストという言葉自体は1994年が最初だとWikipediaに書かれていますが、この概念が実際に広まり始めたのは、Google の BeyondCorp (2009年)、Forrester ResearchのZero Trust Model(2010年) 頃からです。そして、2018年にNIST(アメリカ国立標準技術研究所)が公開した NIST SP 800-207 Zero Trust Architecture が現在最も多く参照されているゼロトラストのモデル/アーキテクチャだと思います。英語ですが、いくつかのシナリオを元にゼロトラストの適用例を示してくれているのでとてもわかりやすいドキュメントです。
その中で紹介されているゼロトラストの論理構成がこちらです。

nist-sp-800-207.png

「Untrastedな場所にあるシステムが、Trusted なリソースにアクセスする時は、必ずポリシーを適用するポイントを経由し、そこで然るべきポリシーの判断の元にアクセスを許可される」といった内容です。
これ自体はあくまでシステムのリソースへのアクセスについて記述しているだけですが、ネットワークアクセスに置き換えると、とても分かりやすいモデルとなっています。

Untrusted = 認証前
Trusted = 認証後
Policy Enforcement Point (PEP) = ネットワークデバイス(SwitchやWi-Fi AP)
Policy Decision Point (PDP) = 認証サーバ

HPE Aruba Networking のソリューションのDynamic Segmentationのアーキテクチャ図は以下のようになっています。NIST の図とほとんどそのままのようにも見えますが、真似たわけではありません。ここに出てくるClearPass Policy Managerはいわゆる認証サーバの製品で、2012年にリリースしており、その頃から、Policy ManagerとしてPolicy Engine, Policy Enforcementの機能を提供しています。さらにPolicy Enforcement を行うMobility Gateway(旧名Mobility Controller)は、2002年のAruba Networks設立時から、無線LANシステムに内蔵したファイアウォール機能をPEF (Policy Enforcement Firewall) という名称で提供しています。
直接的な関連性は知りませんが、このようにゼロトラストの考え方自体は HPE Aruba Networking のソリューションはとても馴染みがあり、ゼロトラストを実装する観点でもとても容易だということが分かります。
このDynamic Segmentationの構成要素としてポイントとなるのが、ネットワークのRBACTunnelを使ったオーバーレイ、そして前回少し解説したDynamic Authorizationです。

Dynamic-Segmentation.png

ネットワークのRBAC (Role Base Access Control)
ネットワークのRBACはその名の通り、ロール毎にアクセス制御を提供する機能です。
ネットワークのアクセス制御は、古くからVLANベースで行われることが多く、その理由は有線LANの時代に、端末が接続するポートが固定されていたことに起因しています。しかしながら、Wi-Fiが広まり、人・端末が移動することが前提のモビリティの時代にはVLANベースのアクセス制御だけでは対処することができません。
Simple_WLAN.png

Arubaのネットワーク製品は、ネットワーク認証時にユーザや端末にRoleを適用します。ユーザグループの様なものと捉えてもらうと分かりやすいかもしれません。これによりモビリティを実現し、どこからネットワークに接続しても、そのユーザ、端末に応じた必要最小限のネットワークアクセスだけを提供することができます。

Secure_Mobility.png

様々なコンテキストを活用できるClearPass Policy Manager
Roleベースのアクセス制御で重要なRoleを決めるのがPDPを担うClearPass Policy Managerです。ClearPassは外部の様々なデータベースと連携し、ユーザや端末のコンテキストを収集することが可能です。ユーザの属性情報は、主にActive DirectoryやLDAP、最近ではSAMLやOAuthを使ってクラウドIDストアと連携するケースもあります。端末の情報はAPIを使ったEDR、MDM連携やSQLを使うケースもあります。また、ClearPass自身が端末のDHCPパケットから、端末のOSを識別するプロファイリング機能もあります。
この様に様々なコンテキストを収集し、それらを使ったポリシーをネットワーク認証・認可時にRoleという形でネットワーク機器(Wi-Fi APやSwitch、Gateway)に適用することができます。
ClearPass_Context.png


オーバーレイで既存ネットワークの上でセグメンテーション
今の時代、ネットワークを一から設計するケースはほとんど無く、既存のネットワークが存在し、さらにはVLANベースのアクセス制御が行われているケースが多くあります。そこに、ネットワークのRBACを使ったDynamic Segmentationを実装する時に、オーバーレイはとても便利です。一番端末に近いアクセススイッチ、アクセスポイントだけ入れ替え、コアスイッチの横にMobility Gatewayを設置することで、その間でトンネルを形成し、オーバーレイで新しいネットワークを構築することができます。
全てのユーザ・端末をオーバーレイすると一極集中でトラフィック負荷が高くなりますが、ユーザ・端末の通信をオーバーレイするかどうかも、ClearPassが認証時に決定し、必要なユーザ・端末だけをオーバーレイさせることもできる様になっています。
さらに、ArubaのMobility Gatewayはステートフルファイアウォールの機能を内蔵しているため、外部からの不正な通信もそこでブロックし、ゼロトラストを適用することが可能になっています。
overlay.png


Campus LAN のセキュリティは最後の砦
Campus LANにゼロトラストのコンセプトを適用するケースはまだ少なく、SASEやEDRをはじめとするエンドポイントの対応が中心です。しかし、セキュリティ対策では〇〇をすれば完璧ということは無く、特にゼロトラストの「何も信じない」、「脅威は既に侵入している前提で対策を考える」というコンセプトを考えると、SASE、エンドポイント、Campus LAN の全てでゼロトラストを実装することは必然です。また、脅威が中に侵入してしまった後に、その脅威を封じ込めることができるのはCampus LANしか無いので、ある意味、セキュリティ対策の最後の砦と言ってもいいかもしれません。
Campus_Lan_最後の砦.png


NIST SP 800-702 のゼロトラストアーキテクチャとCampus LANのゼロトラストは親和性が高いことも分かりました。さらに、オーバーレイをうまく活用することで、既存ネットワークへの適用もかなりシンプルに行うことができます。Campus LANのゼロトラストをまだ実装していない方は、この機会に一度検討してみて下さい。


Aruba事業統括本部 テクノロジーコンサルティング部
下野慶太

ラベル:
0 感謝
作者について

Aruba_Japan

HPE Aruba Networking 事業部は Edge-to-Cloud に最適なネットワークソリューションを提供しています。快適なネットワークライフを実現するための情報を発信していきます。

過去 30 日間で最も評価の高い著者
Author
Kudos
MaiahS Avatar
MaiahS
1
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります