<ゼロトラスト・セキュリティ③~ソフトウェア定義境界(SDP)~>
さて、ゼロトラスト・セキュリティの最終回となる今回は、SDPについてご紹介させて頂こうと思います!
ここまで①ではIAPについて、②ではマイクロセグメンテーションについてご紹介をしてきました!(^^)!
※ 前回までの記事は下記からどうぞ
第一回https://www.cyberseals.work/entry/2019/05/21/090826
第二回https://www.cyberseals.work/entry/2020/07/28/143850
最近の流れとして、
「ゼロトラスト・セキュリティを実現するには①のIAPが良い!」
みたいに言っている組織が多くなっている印象ですが、実際の導入数等はどうなんでしょうか・・・
IAPはセキュリティ的には良いコンセプトですが、いざ導入しようとすると大変そうな気がします😢
さて、本題のSDPについてです!
が、僕的にはこのSDPって結構曲者なんです。野球界でいえば元木ですかね(笑)
ギャグのセンスは別として、何故曲者かというと、
「他のセキュリティ概念との区分が曖昧だから」です。
順を追ってご紹介します!
はじめにSDPの流れについて簡単にご説明します。ここは重要です☆☆
【SDPの流れ】
・ユーザーは何らかのサービスへアクセスする際、必ずSDPクライアントからSDPコントローラーに最初にアクセスする
・コントローラーでユーザーの認証を実施する
・認証がOKならば、そのユーザーへサービスを提供するためSDPゲートウェイからユーザーへVPN通信を確立する
・ユーザーははれて、アクセスしたい先にいける(≧▽≦)
だいたいの流れについて、イメージを頂けたでしょうか?
こうみるとIAPにも似ているし、従来のVPNにも似ていると感じませんか?その他、CASB(=Cloud Accsees Security Broker )なんかにも似ています..
本来であれば、
それぞれの違いについてご紹介しようと予定していたのですが、辞めることにしたんです。
何故かというと、製品・サービスによって「IAPとも言えるし、SDPとも言える」「IAPとしか言えない」「CASBとも言えるし、SDPとも言える」みたいな感じになっているからです。
他の例でも、FWとIPSの違いや、次世代FWとUTMの違いってなかなか難しいですよね・・・
少し話はズレますが、何らかの製品・サービスを導入する際って、案外同じ括りの製品で比較しようとしがちではないでしょうか?
原点回帰的な感じになってしまいますが、本来あるべきなのは、
【導入により達成したい目的】を明確にし、【その実現方法がなんであるか】を考えることが重要だったりしますよね。(釈迦に説法かもしれませんが・・・m(__)m)
なのでここでは、市場的にSDP製品と言われていようが、IAP製品と言われていようが、関係ないと割り切って頂き、最後に以下のSDPのポイントを覚えて頂いて「SDPって概念はこんな感じなんだな~~」と思ってもらえれば幸いです!
【SDPのポイント】
・ユーザーは必ず認証を受けるため、一定のセキュリティレベルが確保できる
・ユーザーの認証時はIPだけでなく、OS情報、マルウェアスキャン、時刻などの要素により認証が可能
・ユーザー側にはクライアントが必要となる
・ゲートウェイはサービス(SaaS、自社サイト、DC等)毎に必要となる
・ゲートウェイからのVPN通信確立があるため、クライアント側のFW設定をする必要がある
⇒提供サービスが増えたりするたびに、様々な設定変更を実施する必要があるということになります!
以上です!