- Community Home
- >
- HPE Community, Japan
- >
- HPE Blog, Japan
- >
- 【連載 : Security-First vol.3】Dynamic Segmentation で実...
カテゴリ
Company
Local Language
フォーラム
ディスカッションボード
フォーラム
- Data Protection and Retention
- Entry Storage Systems
- Legacy
- Midrange and Enterprise Storage
- Storage Networking
- HPE Nimble Storage
ディスカッションボード
ディスカッションボード
ディスカッションボード
フォーラム
ディスカッションボード
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
- BladeSystem Infrastructure and Application Solutions
- Appliance Servers
- Alpha Servers
- BackOffice Products
- Internet Products
- HPE 9000 and HPE e3000 Servers
- Networking
- Netservers
- Secure OS Software for Linux
- Server Management (Insight Manager 7)
- Windows Server 2003
- Operating System - Tru64 Unix
- ProLiant Deployment and Provisioning
- Linux-Based Community / Regional
- Microsoft System Center Integration
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
Discussion Boards
フォーラム
ブログ
【連載 : Security-First vol.3】Dynamic Segmentation で実現するCampus LAN のゼロトラスト
vol.1 でSecurity-First Networkingの概要、vol.2 でCampus LAN のゼロトラストの概要について紹介しました。
今回は、Campus LAN のゼロトラストをもう少し深掘りし、
HPE Aruba Networking が提供している、Dynamic Segmentation について紹介したいと思います。
Zero Trust Architecture
ゼロトラストという言葉自体は1994年が最初だとWikipediaに書かれていますが、この概念が実際に広まり始めたのは、Google の BeyondCorp (2009年)、Forrester ResearchのZero Trust Model(2010年) 頃からです。そして、2018年にNIST(アメリカ国立標準技術研究所)が公開した NIST SP 800-207 Zero Trust Architecture が現在最も多く参照されているゼロトラストのモデル/アーキテクチャだと思います。英語ですが、いくつかのシナリオを元にゼロトラストの適用例を示してくれているのでとてもわかりやすいドキュメントです。
その中で紹介されているゼロトラストの論理構成がこちらです。
「Untrastedな場所にあるシステムが、Trusted なリソースにアクセスする時は、必ずポリシーを適用するポイントを経由し、そこで然るべきポリシーの判断の元にアクセスを許可される」といった内容です。
これ自体はあくまでシステムのリソースへのアクセスについて記述しているだけですが、ネットワークアクセスに置き換えると、とても分かりやすいモデルとなっています。
Untrusted = 認証前
Trusted = 認証後
Policy Enforcement Point (PEP) = ネットワークデバイス(SwitchやWi-Fi AP)
Policy Decision Point (PDP) = 認証サーバ
HPE Aruba Networking のソリューションのDynamic Segmentationのアーキテクチャ図は以下のようになっています。NIST の図とほとんどそのままのようにも見えますが、真似たわけではありません。ここに出てくるClearPass Policy Managerはいわゆる認証サーバの製品で、2012年にリリースしており、その頃から、Policy ManagerとしてPolicy Engine, Policy Enforcementの機能を提供しています。さらにPolicy Enforcement を行うMobility Gateway(旧名Mobility Controller)は、2002年のAruba Networks設立時から、無線LANシステムに内蔵したファイアウォール機能をPEF (Policy Enforcement Firewall) という名称で提供しています。
直接的な関連性は知りませんが、このようにゼロトラストの考え方自体は HPE Aruba Networking のソリューションはとても馴染みがあり、ゼロトラストを実装する観点でもとても容易だということが分かります。
このDynamic Segmentationの構成要素としてポイントとなるのが、ネットワークのRBAC、Tunnelを使ったオーバーレイ、そして前回少し解説したDynamic Authorizationです。
ネットワークのRBAC (Role Base Access Control)
ネットワークのRBACはその名の通り、ロール毎にアクセス制御を提供する機能です。
ネットワークのアクセス制御は、古くからVLANベースで行われることが多く、その理由は有線LANの時代に、端末が接続するポートが固定されていたことに起因しています。しかしながら、Wi-Fiが広まり、人・端末が移動することが前提のモビリティの時代にはVLANベースのアクセス制御だけでは対処することができません。
Arubaのネットワーク製品は、ネットワーク認証時にユーザや端末にRoleを適用します。ユーザグループの様なものと捉えてもらうと分かりやすいかもしれません。これによりモビリティを実現し、どこからネットワークに接続しても、そのユーザ、端末に応じた必要最小限のネットワークアクセスだけを提供することができます。
様々なコンテキストを活用できるClearPass Policy Manager
Roleベースのアクセス制御で重要なRoleを決めるのがPDPを担うClearPass Policy Managerです。ClearPassは外部の様々なデータベースと連携し、ユーザや端末のコンテキストを収集することが可能です。ユーザの属性情報は、主にActive DirectoryやLDAP、最近ではSAMLやOAuthを使ってクラウドIDストアと連携するケースもあります。端末の情報はAPIを使ったEDR、MDM連携やSQLを使うケースもあります。また、ClearPass自身が端末のDHCPパケットから、端末のOSを識別するプロファイリング機能もあります。
この様に様々なコンテキストを収集し、それらを使ったポリシーをネットワーク認証・認可時にRoleという形でネットワーク機器(Wi-Fi APやSwitch、Gateway)に適用することができます。
オーバーレイで既存ネットワークの上でセグメンテーション
今の時代、ネットワークを一から設計するケースはほとんど無く、既存のネットワークが存在し、さらにはVLANベースのアクセス制御が行われているケースが多くあります。そこに、ネットワークのRBACを使ったDynamic Segmentationを実装する時に、オーバーレイはとても便利です。一番端末に近いアクセススイッチ、アクセスポイントだけ入れ替え、コアスイッチの横にMobility Gatewayを設置することで、その間でトンネルを形成し、オーバーレイで新しいネットワークを構築することができます。
全てのユーザ・端末をオーバーレイすると一極集中でトラフィック負荷が高くなりますが、ユーザ・端末の通信をオーバーレイするかどうかも、ClearPassが認証時に決定し、必要なユーザ・端末だけをオーバーレイさせることもできる様になっています。
さらに、ArubaのMobility Gatewayはステートフルファイアウォールの機能を内蔵しているため、外部からの不正な通信もそこでブロックし、ゼロトラストを適用することが可能になっています。
Campus LAN のセキュリティは最後の砦
Campus LANにゼロトラストのコンセプトを適用するケースはまだ少なく、SASEやEDRをはじめとするエンドポイントの対応が中心です。しかし、セキュリティ対策では〇〇をすれば完璧ということは無く、特にゼロトラストの「何も信じない」、「脅威は既に侵入している前提で対策を考える」というコンセプトを考えると、SASE、エンドポイント、Campus LAN の全てでゼロトラストを実装することは必然です。また、脅威が中に侵入してしまった後に、その脅威を封じ込めることができるのはCampus LANしか無いので、ある意味、セキュリティ対策の最後の砦と言ってもいいかもしれません。
NIST SP 800-702 のゼロトラストアーキテクチャとCampus LANのゼロトラストは親和性が高いことも分かりました。さらに、オーバーレイをうまく活用することで、既存ネットワークへの適用もかなりシンプルに行うことができます。Campus LANのゼロトラストをまだ実装していない方は、この機会に一度検討してみて下さい。
Aruba事業統括本部 テクノロジーコンサルティング部
下野慶太
- ブログへ戻る
- より新しい記事
- より古い記事
- MiwaTateoka 場所: Windows Server 2019のCertificate of Authenticity (C...
- OEMer 場所: タイトル: HPE OEM Windows Serverのライセンスに関する質問にすべて回答しましょ...
- いわぶちのりこ 場所: 【連載】次世代ハイパーコンバージド「HPE SimpliVity」を取り巻くエコシステム ー 第3回...
- Yoshimi 場所: ジェフェリー・ムーア氏からのメッセージ - 未訳の新著 "Zone To Win" を解説! (2)...
- Yoshimi 場所: ジェフェリー・ムーア氏からのメッセージ - 未訳の新著 "Zone To Win" を解説! (...
- 三宅祐典 場所: 「HPE Synergy」 発表! ~ (3) この形・・・ ブレードサーバー??