ブログ

アイデンティティ境界の保護

F5 サムネイル
F5
2018年7月25日公開

最近は城の周りに安全な堀を掘ることはできません。 ネットワーク境界の「城と堀」セキュリティ モデルは効果的ではないという点については、広く合意が得られています。 おそらく、アイデンティティ境界とゼロトラストについて聞いたことがあると思いますが、現実世界ではこれらは実際に何を意味するのでしょうか? セキュリティ専門家がテストおよび監査できる、一貫性のある安全な方法で API へのアクセスを承認するなど、他の課題にも直面しています。  

アイデンティティ境界とは何ですか? 

アイデンティティ境界は、誰が何にアクセスできるかを保護することを目的としており、3 つの主要な部分で構成されます。 まず、ユーザーを安全に識別する機能が必要です。ここで Multifactor が役立ちます。 次に、その ID をアプリケーションに拡張する必要があります。ここでフェデレーションを使用します。 3 番目に、単一の制御ポイントとデバイスを検査する機能を確保するために、すべてのアクセスにその ID を使用するように要求する必要があります。ここでアクセス プロキシが役立ちます。 F5 Labs のレポート「10 年間のデータ侵害から学んだ教訓」によると、侵害の 33% は当初、個人情報を標的にしていたことがわかりました。 私たちにはやるべき仕事があることは明らかです。 

アクセス プロキシが重要な理由 

Google の BeyondCorp 方法論では、アクセス プロキシを単一の制御ポイントを適用する機能として識別します。 これにより、ゼロ トラスト アーキテクチャの重要な部分になります。 一部のベンダーはアクセス プロキシ ソリューションを提供していますが、ほとんどのベンダーでは、導入できるクラウド、利用できる ID ベンダー、適用できる制御などが制限されています。  

「アクセス プロキシはゼロ トラスト アーキテクチャの導入に不可欠な要素であり、IDaaS への投資のメリットを拡大します。 F5 と Okta を組み合わせることで、両方のサービスが強化され、アプリが展開される場所を問わずセキュリティとユーザー エクスペリエンスが向上します。」
- Okta 統合および戦略的パートナーシップ担当副社長、チャック・フォンタナ

認証の不備やアクセス制御の不備は、Web アプリケーションでは一般的かつ深刻な問題であり、OWASP Top 10 にも取り上げられています。 F5 Labs の 2018 年アプリケーション保護レポートに示されているように、脅威は非常に一般的であるため、認証バイパスは攻撃スクリプト ライブラリで頻繁に使用されます。 アクセス プロキシは、アプリケーションの前で必要なアクセス制御と認証要件を実装するための一貫した方法を提供します。 これにより、すべてのアプリケーション開発者が認証の専門家であると信頼する必要がなくなります (可能性は低いです)。 私たちは「市場投入までの時間」について多くの時間を費やして話していますが、「セキュリティを確保するまでの時間」も同様に重要です。 

API – データへのゲートウェイ 

API 認証コントロールをアプリケーションに直接実装する場合、言語とフレームワークごとに少しずつ異なる方法で実装する必要があります。 これにより、制御の有効性を評価および判断することが非常に困難になり、パッチ適用、テスト、および保守が必要なセキュリティ制御の量が大幅に増加します。 API のセキュリティを正常に確保するには、クラウド間で機能し、アプリケーション言語に関係なく同じように展開される単一のソリューションが不可欠です。 

F5 のアプローチは何ですか? 

F5 は、顧客がこれらの問題を解決できるようにAccess Manager をリリースしています。 主な機能は次のとおりです。 

  • IDaaS とフェデレーションの統合– SAML、OAuth、OpenID Connect をサポートすることで、Access Manager は ID を拡張し、より多くのアプリケーションを保護し、単一の制御ポイントを維持できるようになります。 Okta や Azure AD などの主要な IDaaS ベンダーは、ガイド付き構成を通じてサポートされます。 Access Manager は、ID プロバイダーまたは認証サーバーとしても機能し、完全なソリューションを提供します。

  • API 認証– Access Manager は、OAuth、OpenID Connect、Certificate Auth などをサポートし、API の認証制御を実装するための安全で一貫した方法を提供します。

  • 資格情報の保護– アイデンティティへの攻撃はデータセンターのエッジで止まらないため、保護もそこで止まることはありません。 Access Manager は、F5 DataSafe を使用して送信する前であっても、ユーザーが入力した資格情報を暗号化することで、ユーザーのブラウザに ID 保護を拡張します。

  • きめ細かなポリシー制御– Access Manager には、アプリケーション、ユーザー、デバイスごとにきめ細かな制御を作成してリスクを制御するのに役立つ視覚的なポリシー ビルダーが含まれています。

  • ガイド付き構成– 明確なガイドを使用して、複雑なタスクを簡単な手順にまとめます。 これにより、セキュリティ チームはゼロ トラスト アーキテクチャを迅速に導入し、API を保護し、IDaaS ソリューションの範囲を拡大し、アプリケーションへのアクセスを許可できるようになります。 

楽しみにしている 

F5 が将来を見据えると、ほんの数年前には不可能だった方法で ID を保護するには、ユーザーを認証する新しいリスクベースのモデルが必要になることがわかります。 プロキシと、認証と承認を保護するための一貫した方法を統合することが重要であることは明らかです。 アイデンティティ境界を保護する新しい方法がまもなく登場しますので、ご期待ください。