ソリューションの概要
F5 BIG-IP APM アイデンティティ認識プロキシ (IAP): ゼロトラスト アーキテクチャへのゲートウェイ
仮想プライベート ネットワークのセキュリティ保護
在宅勤務やリモートワークが当たり前になるにつれ、アプリケーションやユーザーの所在地に関係なく、組織はアプリケーションやリソースへの安全で承認されたアクセスを提供する必要があります。 多くの組織は、アプリケーションやリソースへのリモート ユーザー アクセスを保護するために仮想プライベート ネットワーク (VPN) に依存しています。 しかし、VPN は安全なユーザー アクセスを可能にする一方で、扱いにくいこともあります。
ユーザーが VPN 経由でネットワーク上のアプリケーションにアクセスし、次にパブリック クラウドまたは Software-as-a-Service (SaaS) アプリケーションにアクセスすると、ネイティブ クラウドまたは SaaS アプリのデータとコードはネットワークを通過してユーザーに渡されます。 これにより、VPN 内でボトルネックが発生する可能性があります。 これによりレイテンシが増加し、ユーザーエクスペリエンスと生産性に悪影響を与える可能性があります。 さらに、 VPN はハッキングされる可能性があります。 特にユーザーが公共の Wi-Fi 経由で遠隔地のリソースやアプリケーションにアクセスしている場合、VPN が悪質な中間者 (MitM) 攻撃の被害に遭うケースが数多くあります。 在宅勤務者にも起こり得ます。自宅のルーターが感染し、中間者攻撃やデータ盗難が発生する可能性があるからです。 VPN アクセスでは、セキュリティに対して、今では時代遅れとなった「城と堀」のアプローチも使用されます。 ユーザーが正しい資格情報を持っている場合、ネットワーク内で許可されているすべてのアプリケーションとリソースにアクセスできます。 便利ではありますが、この種のアクセスは組織にとって壊滅的な結果をもたらす可能性があります。 信頼できる既知のユーザーであっても、知らないうちに不注意で内部脅威になる可能性があります。
攻撃者は、組織の VPN ログインに対してクレデンシャル スタッフィング攻撃を開始し、ネットワーク、アプリケーション、データにアクセスする可能性があります。 データを盗み、ネットワーク上に追加のマルウェアを投下し、ユーザーのアカウントを乗っ取ってビジネスメール詐欺 (BEC) 攻撃を開始する可能性があります。 ネットワーク内を水平方向に移動して、他のユーザーに感染させたり、さらに多くのデータを盗んだりすることもできます。 さらに悪いことに、ネットワーク内の上流または下流に移動し、サプライ チェーンを攻撃する可能性があります。 それは、組織、ユーザー、さらにはパートナーやサプライヤーに損害を与える可能性があります。
ゼロトラストアーキテクチャの進歩
貴社のような多くの組織がゼロ トラスト アーキテクチャを採用しています。 ゼロ トラストでは、攻撃者がすでにネットワークに侵入し、攻撃を開始する機会を待ちながら潜んでいるかのようにセキュリティに取り組むことが推奨されます。 セキュリティに対するゼロ トラスト アプローチでは、定義されたネットワーク境界内の信頼できる内部者という考え方が排除されます。 これは、何十年も採用されてきた「城と堀」のセキュリティ アプローチとは異なり、安全なネットワーク境界が限られているか、まったく存在しないことを前提としています。 また、多くのアプリケーションがパブリック クラウドに移行したり、SaaS アプリケーションに置き換えられたり、ネットワーク リソースがクラウド内のリソースに奪われたりしているため、ゼロ トラスト アプローチはこれまで以上に関連性と適用性が高まっています。
ゼロ トラストの原則は、「決して信頼せず、常に検証する」です。 たとえユーザーがすでに認証され、承認され、アプリケーションやリソースへのアクセスを許可されていたとしても、そのユーザーを決して信頼しないでください。 ユーザーの ID、デバイスの種類と整合性、場所、アクセスが要求されているアプリケーションとリソースなどを常に検証し、精査します。 また、ユーザーがアクセスを要求したときだけでなく、アプリケーションまたはリソースにアクセスできる間全体にわたって、またその後のすべてのアクセス要求および試行時にも検証します。 ゼロ トラスト アプローチとは、ユーザー アクセスに最小限の権限を適用することを意味します。つまり、ユーザーには許可されたアプリケーションとリソースのみへのアクセスを許可し、一度にアクセスを 1 つのアプリケーションまたはリソースに制限します。
ゼロ トラスト アーキテクチャの中核となる原則は、アイデンティティとコンテキストです。 信頼できる検証可能な ID ソースを活用して、ユーザーが本人であることを常に確認します。 また、適切なユーザーのみが、適切な場所から、適切なデバイス、適切な構成を使用して、適切なタイミングで適切なアプリに安全にアクセスできるようにします。
アイデンティティ認識プロキシ: ゼロトラストへのゲートウェイ
アイデンティティとコンテキストの認識も、Identity Aware Proxy (IAP) によって実現され、提供されます。 Identity Aware Proxy は、ユーザー認証と承認に対するきめ細かなアプローチを活用して、特定のアプリケーションへの安全なアクセスを提供します。 IAP では、リクエストごとのアプリケーション アクセスのみが有効になります。これは、セッション ベースのアクセスを適用する VPN の広範なアクセス アプローチとは大きく異なります。 違いは、ユーザー アクセスを、アクセスが許可されている特定のアプリケーションまたはリソースに制限することと、アクセスが許可されているすべてのアプリケーションまたはリソースにアクセスできるようにすることです。 認証を集中化することで、アプリケーション レベルのアクセス制御を作成できます。
IAP ではコンテキストが重要です。 これにより、ユーザー ID、デバイスの整合性、ユーザーの場所など、コンテキスト属性に基づいて、きめ細かいアプリケーション アクセス ポリシーを作成して適用できるようになります。 IAP は、ネットワーク層で課されるルールではなく、アプリケーション レベルのアクセス制御に依存します。 構成されたポリシーは、ポートや IP アドレスではなく、ユーザーとアプリケーションの意図とコンテキストを反映します。 最後に、IAP では、ユーザーとそのデバイスを検証し、アクセスが許可されているものを厳密に適用するために、信頼できる ID の強力なルートが必要です。
アイデンティティ認識プロキシとは何ですか?
Identity Aware Proxy は、F5 BIG-IP Access Policy Manager (APM) のプリンシパルです。 BIG-IP APM と F5 Access Guard は、すべてのアクセス要求に対してゼロ トラスト モデル検証を使用して、Identity Aware Proxy を提供します。 特定のアプリケーションへの認証および承認された安全なアクセスを提供し、F5 のクラス最高のアクセス プロキシを活用します。 BIG-IP APM はユーザー ID と認証を一元管理します。 承認は、最小権限アクセスの原則に基づいています。 BIG-IP APM は IAP アプローチを使用して、アプリケーション アクセス要求を検査、終了、承認できます。 ゼロ トラストに必要なコンテキスト認識には、非常に詳細な承認ポリシーの開発と実施が必須です。 BIG-IP APM は、IAP サポートを通じてまさにそれを実現します。 BIG-IP APM 内のポリシーを作成して、ユーザー ID を検証し、デバイスの適切性と状態をチェックし、ユーザー認証を検証できます。
以下のポリシーを作成することもできます。
- アプリケーションの整合性と機密性を確認する
- 時間と日付のアクセス可能性を確認する
- ユーザーの所在地が不正確、不適切、または安全でないと判断された場合、アクセスを制限または停止する
- ユーザーの所在地や、アクセスを要求しているデバイスやアプリケーション、ファイルの機密性を考慮すると、多要素認証(MFA)などの追加の認証形式を要求する。
- ユーザーとエンティティの行動分析(UEBA)やその他のAPI駆動型リスクソースからのデータを統合する
図1: 最も安全なリモート アクセスを許可するには、ID とコンテキストの検証が不可欠です。
デバイスが適切かつ安全であることを確認するため、また、ユーザーを認証してアプリケーション アクセスを許可する前に、BIG-IP APM は BIG-IP APM に含まれる F5 Access Guard を介してデバイスのセキュリティ状態をチェックします。 ただし、BIG-IP APM と F5 Access Guard は、認証時にデバイスの整合性を単にチェックするだけではありません。 代わりに、継続的かつ継続的なデバイス ポスチャ チェックが提供され、ユーザーのアプリケーション アクセス全体にわたって、ユーザー デバイスがエンドポイント セキュリティ ポリシーを満たすだけでなく、継続的に遵守していることが保証されます。 また、BIG-IP APM はデバイスの整合性に何らかの変化を感知すると、ユーザーのアプリケーション アクセスを制限または停止し、潜在的な攻撃が開始される前にそれを制限または排除します。
Identity Aware Proxy は、リモート ワーカーや在宅勤務者のアプリケーション アクセスを簡素化し、組織のアプリケーション アクセスをより適切に実現して保護します。 VPN アクセスでは、ユーザーは許可されている任意のアプリケーションまたはリソースにアクセスできるため、ゼロ トラスト モデルには準拠しません。 ただし、Identity Aware Proxy を使用すると、ユーザーは特定のアプリケーションへのアクセスを直接要求し、暗号化保護を受けることができます。 これにより、VPN の必要性が大幅に軽減され、組織の時間とコストが節約されるとともに、より安全な代替手段が提供されます。
ゼロトラストのためのアイデンティティブリッジ
ただし、真のゼロ トラスト セキュリティ アプローチでは、パブリック クラウドにネイティブではないアプリケーションや Software-as-a-Service (SaaS) として提供されていないアプリケーションも含め、ユーザーが承認される可能性のあるすべてのアプリケーションへのアクセスを保護する必要があります。 これには、Identity-as-a-Service (IDaaS) などのクラウドベースの ID では動作しない、または動作できない可能性のある従来のアプリケーションやカスタム アプリケーションも含まれる必要があります。 これらのアプリケーションの多くは、オンプレミス、データセンター、またはプライベート クラウドに残っています。 これらのアプリケーションのほとんどは、Kerberos、ヘッダーベースなどの従来の認証方法もサポートしています。 Secure Assertion Markup Language (SAML)、OpenID Connect (OIDC)、OAuth などの最新の認証および承認プロトコルをサポートできません。 ID フェデレーション、シングル サインオン (SSO)、さらには MFA もサポートできません。
BIG-IP APM はこの問題を解決します。 BIG-IP APM は、Microsoft (Azure Active Directory)、Okta などの IDaaS プロバイダーと緊密に連携し、最新の認証と従来の認証の間の ID ギャップを埋めます。 BIG-IP APM を使用すると、クラシック アプリケーションとカスタム アプリケーションが ID フェデレーションと SSO をサポートできるようになります。 これにより、ユーザー エクスペリエンスが向上し、アクセス制御を一元化することでアプリケーション アクセスが簡素化されるだけでなく、安全で信頼できる ID ソースが確保されます。 すべてのアプリケーションに対して MFA を有効にすることで、BIG-IP APM はすべてのアプリケーションを不適切なアクセスから保護し、適切なアプリケーション アクセスを確保するための別のセキュリティ レイヤーを有効にします。 BIG-IP APM は、アプリケーションがどこでホストされているかに関係なく、アプリケーションへのユーザー アクセスを管理および保護するための単一の集中制御ポイントです。
図2: BIG-IP APM は、アプリケーションがどこでホストされているかに関係なく、アプリケーションへのユーザー アクセスを保護および管理するための単一の集中制御ポイントです。
結論
F5 BIG-IP APM は、Identity Aware Proxy のサポートを通じて、ゼロ トラスト アプリケーション アクセスの展開を可能にします。 BIG-IP APM は、場所、認証、承認方法に関係なく、すべてのアプリケーションへのアクセスを保護および管理しながら、リクエストごとのアプリケーション アクセスを提供します。 F5 と同等の拡張性と信頼性を提供し、F5 の業界をリードするフルプロキシ アーキテクチャを活用します。
Identity Aware Proxy を備えた BIG-IP APM は、インフラストラクチャ コストを削減し、アプリケーションのセキュリティを強化し、ユーザーと管理者のエクスペリエンスを向上させます。