ネットワーク中心のセキュリティの課題
過去30年間、エンタープライズはネットワーク中心の方法に依存し、ネットワーク上で実行するアプリケーションを拡張することによってユーザーをネットワークに接続してきました。しかし、ユーザーの作業方法が変化し、アプリケーションがクラウドに移行し、ネットワークはインターネットにまで拡張されました。その結果、リモートアクセスVPNなどのネットワーク中心のソリューションは時代遅れなものとなりました。
ネットワーク中心のアプローチに共通する落とし穴:
- ネットワーク上にユーザーを配置することによって増大するリスク
- エンドユーザーエクスペリエンスの低下
- DDoS攻撃の機会が生じるインバウンド接続
- アプライアンス、ACL、およびファイアウォールポリシーの必要性
- アプリケーションセグメンテーションを提供する機能の欠如
- アプリケーション関連アクティビティの可視性の欠如
Zscaler Private Access
ユーザー中心およびアプリケーション中心のセキュリティの実現
Zscaler Private Access(ZPA)は、クラウドまたはデータセンターで実行する内部アプリケーションへのゼロトラストの安全なリモートアクセスを提供します。ZPAでは、アプリケーションがインターネットに公開されることはないので、不正なユーザーからは見えなくなります。このサービスでは、ネットワークをユーザーに拡張するのではなく、アプリケーションをユーザーに接続することが可能になり、あらゆるIT環境、デバイス、および内部アプリケーションにわたって機能するSDP(Software-Defined Perimeter)を提供できます。
データシートを読む
NOV、150歳の石油・ガス会社は、10,000ユーザーのための7000個のアプリケーションにゼロ信頼アクセスのためのZscalerプライベートアクセスを使用しています。
セキュリティを強化しコストを削減するために、FCCがTICをZscalerにどうやって置き換えたかを紹介します。
TriMedXは、ヘルスケア技術経営組織はZPAとのVPNを置き換えると、ゼロ信頼セキュリティ戦略を採用しました。
MAN Energy Solutionsがグローバルスケールで内部アプリへのゼロトラストアクセスを提供した方法を紹介します。
Zscaler Private Accessのメリット
ゼロトラストをクラウドトランスフォーメーションに組み込む理由。
より良いアクセスエクスペリエンス
ユーザーはすべてのアプリおよびデバイスにシームレスにアクセスできます。ZAPと同じZscalerアプリを使用します。また、Webアプリにもブラウザでアクセスできます。
ネットワークからのユーザーの解放
承認されたユーザーはネットワークにアクセスする必要なくアプリケーションにアクセスできるので、リスクが削減されます。
ネットワークではなくアプリケーションによるセグメンテーション
マイクロトンネルを使用すると。ネットワークセグメントやACLまたはファイアウォールポリシーの管理を行うことなくアプリケーションによるセグメント化を行うことができます。
インサイドアウトの接続によって実現するアプリの不可視化
承認されたユーザーだけがアプリに接続でき、アプリはインバウンドpingをリスンしません。IPアドレスは公開されないので、DDoS攻撃は不可能です。
インターネットは新たな企業ネットワークとなりました
クラウドに移行することにより境界がインターネットに拡張されます。TLSベースの暗号化トンネルおよびカスタムPKIを使用して、プライベートアプリの保護を維持します。
完全なSDP(Software-Defined Perimeter)サービス
クラウドセキュリティサービスによって複数のデータセンターにわたるスケーラビリティが実現します。ハードウェアアプライアンスは必要ありません。
Software-Defined。ゼロトラストセキュリティを目的とした構築
Zscaler Private Accessは、ネットワークセキュリティにユーザー中心およびアプリケーション中心のアプローチを採用しているので、承認されたユーザーおよびデバイスだけが特定の内部アプリケーションにアクセスできます。物理または仮想アプライアンスに依存する代わりに、ZAPは軽量のインフラストラクチャソフトウェアを使用して、ユーザーとアプリケーションの両方をZscaler Security Cloudに接続します。
1. Zscalerブローカー
- クラウドでホスト
- 認証に使用
- 管理者によるカスタマイズが可能
- Z-AppとZ-Connector間のセキュアな接続を仲介
2. Zscaler App
- デバイスにインストールされたモバイルクライアント
- アプリへのアクセスを要求
3. App Connector
- Azure、AWS、およびその他のパブリッククラウドサービス内のアプリの前に配置
- アプリケーションへのアクセス要求をリスン
- インバウンド接続なし
シャドーITアプリケーションの探索および保護
多くのエンタープライズチームでは、環境内に存在するアプリケーションの数を把握していません。ZAPは、データセンターまたはパブリッククラウドインフラストラクチャで実行されていたにも関わらず発見されていなかった内部アプリケーションを識別します。識別した後、管理者は各アプリケーションに詳細なポリシーを設定し、環境のセキュリティと制御を維持することができます。不明なアプリケーションを権限のないユーザーから隠蔽するZAPの機能と組み合わせることにより、攻撃対象を劇的に削減することができます。
ネットワークセグメンテーションからアプリケーションセグメンテーションへの移行
以前は、管理者はネットワークをセグメント化してユーザー接続を保護していました。今日、エンタープライズはZAPを使用して対象アプリケーションおよびアプリケーションにアクセスするユーザーを制御しています。管理者は、特定のユーザー、ユーザーグループ、アプリケーション、アプリケーショングループ、および関連付けられたサブドメインに対してアプリケーションレベルで詳細なポリシーを容易に設定できます。
1. ポリシーを作成して名前を定義します
2. ユーザーとユーザーグループごとに異なる権限レベルを設定します
3. 各ポリシーが関連付けられているアプリケーションを選択します
4. UI内からユーザーとアプリケーションに新しいルールおよびポリシーを容易に追加します
Suggested Resources
