ソリューション > ZPAによるサードパーティのセキュアアクセス

パートナーをオフネットワークにし、

部分的なアプリケーションアクセスだけを許可する

パートナーに対して過剰なアクセス権が付与されている

多くの企業が、サードパーティのパートナーによるセキュリティ侵害の被害者になっています。認証情報の漏洩あるいはデバイスの感染のいずれのセキュリティ侵害であっても、ネットワークがリスクにさらされ、重要なデータが外部に流出し、深刻な損害を被る可能性があります。

ほとんどのリモートアクセスソリューションが、サードパーティパートナーに全面的なネットワークアクセスを許可しています。これらの過剰な権限が与えられたユーザが企業にとって大きなリスクとなるのは、管理者が企業のネットワークに接続するパートナーやデバイスをコントロールできないためです。

それでは、強力かつ生産性の高いパートナーシップを育成し、それと同時に、ネットワークやプライベートアプリケーションも保護するには、どうすればよいのでしょうか?

図:従来型VPNでは、パートナーユーザとBYODデバイスがネットワークに接続し、完全アクセスによって水平移動が可能になることを説明

アプリケーションアクセスを必要とするパートナーに、
ネットワーク全体へのアクセスを許可するか?

セキュリティの脅威がますます危険なものになっていることから、水平移動も可能にする、ネットワークへの完全アクセスをパートナーにまで拡大するのは危険です。とは言え、一部のプライベートアプリケーションについては、パートナーにもアクセスを提供する必要があるでしょう。この問題を解決するには、アプリケーションアクセスをネットワークから切り離し、個々のユーザとアプリに基づいてアクセスをセグメンテーションする必要があり、ゼロトラストネットワークアクセス(ZTNA)テクノロジの利用が、それを可能する唯一の方法となります。

ほとんどのリモートアクセスソリューションがネットワーク中心であるのに対し、ZTNAは、ユーザ(従業員、サードパーティのパートナー、取引業者)と認可されたエンタープライズアプリケーションの間に安全な接続を提供するという考え方に基づいています。その結果、アクセスのマイクロセグメンテーションが可能になるため、セキュリティを維持しつつ、過剰な権限をサードパーティのアクセスに許可することで発生するリスクを軽減できます。

セキュリティ

導入前:サードパーティのパートナーや契約社員がネットワークを水平移動できたことから、企業が不要なリスクにさらされていました。
導入後:ゼロトラストアクセスでは、ネットワークではなく、承認されたプライベートアプリケーションだけに対するアクセスがパートナーに許可されます。

シンプルさ

導入前:リモートアクセスソリューションでは、管理対象デバイスあるいは個人のデバイスにクライアントをダウンロードする必要がありました。
導入後:ブラウザアクセスの機能を利用した、パートナーセキュアアクセスがシームレスに可能になり、デバイスや場所に関係なく、ユーザがブラウザを利用するだけで、承認されたアプリケーションにアクセスできるようになります。

可視性とコントロール

導入前:リモートアクセスソリューションでは、パートナーの活動の可視性はIPアドレスとポートデータに限られていました。
導入後:ZTNAソリューションによって、パートナーのあらゆるアクティビティを、ユーザ、デバイス、指定したアプリのレベルまでの包括的な可視化が可能になります。

ゼロトラストネットワークアクセス(ZTNA)サービスであれば、サードパーティのリスクを容易に排除できます。

Zscaler Private Access(ZPA)は、ユーザ/アプリケーション中心のアプローチをネットワークセキュリティに採用しているZTNAサービスです。従業員、契約社員、あるいはサードパーティのパートナーのいずれのユーザであるかにかかわらず、ネットワークへのアクセスが付与されていない場合であっても、承認されたユーザやデバイスだけに特定の内部アプリケーションへのアクセスが許可されます。ZPAは、物理/仮想アプライアンスの代わりにインフラストラクチャに依存しない軽量のソフトウェアを使用し、ブラウザアクセスの機能を組み合わせることで、Zscaler Security Cloudに組み込まれた逆方向接続経由で、すべてのタイプのユーザをアプリケーションにシームレスに接続します。

図:ZPAは、ユーザ/アプリケーション中心のネットワークセキュリティのアプローチを採用していることを説明ブラウザアクセスを活用するSDPアーキテクチャ

SDP(Software-Defined Perimeter)の概念

1.  ブラウザアクセスサービス
    • トラフィックをIDPにリダイレクトして認証
    • デバイスにクライアントは不要
    2.  ZPAパブリックサービスエッジ
    • ユーザ/アプリ間接続を保護
    • カスタマイズされたすべての管理ポリシーを適用
    3.  App Connector
    • Azure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
    • ブローカへの内側から外側へのTLS 1.2接続を提供
    • アプリを外部に公開されないようにすることで、DDoS攻撃を防止
    NOV Logo

    「Citrixを作成してユーザが環境に接続し、社内の登録サイトにさらに移動して2つ目の要素のトークンを登録するのではなく、ZPAのクライアントレスアクセス経由でZPAを送信先にするだけで、驚くほどうまくいきました」

    Casey Lee
    Director of IT Security, National Oilwell Varco

    ブラウザアクセスによって、パートナーのセキュアアクセスが数分で完了

    ZPAブラウザアクセスにより、クライアントを必要とすることなく、安全なアプリケーションアクセスが、サードパーティパートナーとユーザの両方に許可されます。パートナーは、企業のGW経由でエンタープライズアプリケーションにアクセスする必要がなくなり、自分のデバイスを使用して、インターネット経由で簡単にアプリにアクセスできます。結果として、パートナーアクセスの高度なコントロールが可能になり、ユーザが、時間、デバイス、場所の制限なく、プライベートアプリケーションに接続できるようになります。

     

    メリット
    • シームレスなユーザエクスペリエンスをパートナーとユーザに提供
    • BYODからの安全なアプリアクセス
    • すべての内部Webアプリのサポート
    • 主要IDPとの統合
    女性がラップトップを使い、ZPAのブラウザアクセスで、セキュアパートナーアクセスを数分で実現
    CSM Bakery Solutions Logo

    Learn how CSM Bakery used ZTNA technology to enable secure private app access to thousands of users globally.

    お勧めのリソース

    ソリューションブリーフを読む(英語)

    ZPAによるサードパーティのセキュアアクセス

    ガートナーZTNAマーケットガイド

    ZTNA(ゼロトラストネットワークアクセス)の詳細

    ウェブキャスト

    ゼロトラストセキュリティでパートナーアクセスを再定義する3つの方法

    デモ

    ZPAを評価する