ソリューションの概要
F5 BIG-IP APM Identity Aware Proxy(IAP):ゼロ トラスト アーキテクチャへの入口
仮想プライベート ネットワークの保護
在宅勤務やテレワークが一般的になる中、組織はアプリケーションがどこにありユーザーがどこにいるかにかかわらず、承認に基づいてアプリケーションとリソースに安全にアクセスできるようにしなければなりません。多くの組織は、リモート ユーザーによるアプリケーションとリソースへのアクセスを保護するために、仮想プライベート ネットワーク(VPN)を利用しています。ただし、VPNはユーザーの安全なアクセスを可能にする一方で、扱いにくくもあります。
ユーザーがVPN経由で企業ネットワーク上のアプリケーションにアクセスした後、パブリック クラウドやSoftware-as-a-Service(SaaS)アプリケーションにアクセスした場合、ネイティブ クラウドやSaaSアプリケーションのデータとコードは企業ネットワークを経由してからユーザーに届きます。これにより、VPN内にボトルネックが発生します。その結果、遅延が増大し、ユーザー エクスペリエンスや生産性に悪影響が及ぶ可能性があります。さらに、VPNはハッキングされる可能性があります。ユーザーが公共のWi-Fiを利用して遠隔地のリソースやアプリケーションにアクセスしている場合は特に、VPNが悪質な中間者(MitM)攻撃の被害に遭うケースが少なくありません。この問題は在宅勤務者にも起こる可能性があり、家庭用ルーターが感染すると、MitM攻撃やデータ盗難が可能になります。またVPNアクセスでは、今では時代遅れとなった「城と堀」型のセキュリティ対策が使用されていて、ユーザーは正しい認証情報を持っていればネットワーク内で承認されているアプリケーションやリソースにアクセスすることができます。このようなアクセスは便利である反面、組織にとっては惨事を招きかねません。信頼されている既知のユーザーが気付かないうちにインサイダー脅威となる可能性があります。
攻撃者は、組織のVPNログイン時にクレデンシャル スタッフィング攻撃を開始し、ネットワーク、アプリケーション、データにアクセスする可能性があります。彼らはデータを盗み、ネットワーク上にさらにマルウェアを投下し、ユーザーのアカウントを乗っ取ってビジネス メール詐欺(BEC)攻撃を仕掛けます。さらにはネットワーク内を水平方向に移動して他のユーザーを感染させたり、さらに多くのデータを盗んだりすることも可能です。それどころかネットワーク内の上流や下流に移動してサプライ チェーンを攻撃することもできます。これによって組織、ユーザー、さらにはパートナーやサプライヤにも損害が及ぶ可能性があります。
ゼロ トラスト アーキテクチャの進歩
ゼロ トラスト アーキテクチャは多くの組織で採用されています。ゼロ トラストの考え方では、攻撃者が既にネットワークに侵入して潜み、攻撃の機会を待っていると想定してセキュリティに取り組むことを推奨しています。セキュリティに対するゼロ トラストのアプローチでは、定義したネットワーク境界内にいる内部関係者は信頼できるという考え方を排除します。数十年にわたって採用されてきた「城と堀」型のセキュリティ アプローチとは異なり、安全なネットワーク境界はわずかしかないか、あるいは存在しないことを前提としています。多くのアプリケーションがパブリック クラウドに移行するか、SaaSアプリケーションに取って代わられ、ネットワーク リソースがクラウド内のそれらのアプリケーションによって侵害されており、ゼロ トラスト アプローチはこれまで以上に重要で的を射たアプローチとなっています。
ゼロ トラストの原則は、「信用せず、常に検証する」ことです。既に認証され、承認され、アプリケーションやリソースへのアクセスを許可されているユーザーでも信用してはいけません。ユーザーのID、デバイスの種類と整合性、場所、アクセスが要求されているアプリケーションやリソースなどを常に検証し、精査します。また、ユーザーがアクセスを要求したときだけ検証するのではなく、ユーザーがアプリケーションやリソースにアクセスしている間はずっと検証し、さらにそれ以降のアクセス要求や試みのたびに検証します。ゼロ トラスト アプローチとは、ユーザーのアクセスに最小権限を適用することを意味します。つまりユーザーは自分が承認されているアプリケーションやリソースへのアクセスのみを許可され、一度に1つのアプリケーションやリソースにしかアクセスできません。
ゼロ トラスト アーキテクチャの中核となる考え方はIDとコンテキストです。IDの信頼できる検証可能なソースを利用してユーザーの本人確認を常に行い、さらに適切なユーザーのみが適切なデバイスと適切な構成を使用して適切な場所から適切なタイミングで適切なアプリケーションに安全にアクセスできるようにします。
Identity-Aware Proxy:ゼロ トラストへの入口
ID認識とコンテキスト認識もIdentity Aware Proxy(IAP)が実現し、もたらすものです。Identity Aware Proxyは、ユーザーの認証と承認にきめ細かく対応することで、特定のアプリケーションへの安全なアクセスを提供します。IAPは、要求ごとのアプリケーション アクセスのみを可能にします。これは、セッションベースのアクセスを適用するVPNの広範なアクセス アプローチとは大きく異なります。2つのアプローチの違いは、一方はそのユーザーがアクセスすることを承認されている特定のアプリケーションやリソースにユーザーのアクセスを限定するのに対し、もう一方はアクセスを承認されているすべてのアプリケーションやリソースにアクセスできるようにすることです。承認を一元化することでアプリケーションレベルのアクセス制御を構築することが可能となります。
IAPではコンテキストが重要です。コンテキストにより、ユーザーのID、デバイスの整合性、ユーザーの場所などのコンテキスト属性に基づいてきめ細かなアプリケーション アクセス ポリシーを作成して実施することが可能になります。IAPは、ネットワーク層に課せられたルールではなく、アプリケーションレベルのアクセス制御に依存しています。構成されたポリシーは、ポートやIPアドレスではなくユーザーやアプリケーションの意図やコンテキストを反映します。最終的にIAPには、ユーザーとそのデバイスを検証し、それらがアクセスを承認されている対象を厳密に管理するために、信頼できるIDの強力な根拠が必要となります。
Identity Aware Proxyとは何か
Identity Aware Proxyは、F5® BIG-IP® Access Policy Manager®(APM)の最も重要な機能です。BIG-IP APMとF5 Access Guardはすべてのアクセス要求に対してゼロ トラスト モデルの検証を使用することでIdentity Aware Proxyを実現します。Identity Aware Proxyは特定のアプリケーションに対する認証および承認された安全なアクセスを提供するために、F5のクラス最高のアクセス プロキシを活用します。BIG-IP APMはユーザーのIDと承認を一元化します。その承認は最小権限アクセスの原則に基づいています。BIG-IP APMはそのIAPアプローチによりアプリケーション アクセス要求を調査、終了、承認することができます。ゼロ トラストに必要なコンテキスト認識では、きめ細かな承認ポリシーを作成して実施する必要があります。BIG-IP APMはIAPをサポートすることでこれを実現しています。BIG-IP APMではユーザーIDの検証、デバイスの適切性と状態の確認、ユーザー承認の確認を目的としたポリシーを作成することができます。
さらに以下を目的としたポリシーも作成できます。
- アプリケーションの整合性と機密性を確認する
- アクセス可能な日時を確認する
- ユーザーの場所が正しくない、適切でない、または安全ではないと判断された場合にアクセスを制限または停止する
- ユーザーの場所、デバイスの機密性、アクセスが要求されているアプリケーションやファイルに応じて多要素認証(MFA)を含む認証形態をさらに要求する
- ユーザー エンティティ行動分析(UEBA)などのAPI主導型リスク ソースからのデータを統合する
図1:リモート アクセスの安全性を最大限に確保するにはIDとコンテキストの検証が不可欠。
BIG-IP APMは、ユーザーを認証してアプリケーション アクセスを承認する前に、デバイスが適切で安全であることを確認するためにBIG-IP APMに付属しているF5 Access Guardを介してデバイスのセキュリティ状態をチェックします。ただし、BIG-IP APMとF5 Access Guardは認証時にデバイスの整合性をチェックするだけでなく、継続的にデバイスの状態をチェックします。そうすることでユーザー デバイスがエンドポイント セキュリティ ポリシーを満たすだけでなく、ユーザーのアプリケーション アクセス全体を通してこれらのポリシーを継続的に遵守していることを保証します。またBIG-IP APMがデバイスの整合性に何らかの変化を検知した場合は、ユーザーのアプリケーション アクセスを制限または停止することで潜在的な攻撃を未然に制限するか排除することができます。
またIdentity Aware Proxyはテレワーカーや在宅勤務者のアプリケーション アクセスを簡素化し、組織のアプリケーション アクセス性を向上させて保護します。VPNアクセスではユーザーは承認されたアプリケーションやリソースにアクセスできるため、これはゼロ トラスト モデルには従っていません。一方、Identity Aware Proxyではユーザーは特定のアプリケーションへのアクセスを直接要求し、暗号化で保護されます。これによりVPNの必要性は大幅に縮小し、組織の時間とコストが節約され、さらにより安全な代替手段を提供することができます。
IDのギャップを解消してゼロ トラストを実現
しかし真のゼロ トラスト セキュリティ アプローチでは、パブリック クラウドに対してネイティブでないアプリケーションやSoftware-as-a-Service(SaaS)として提供されていないアプリケーションも含め、ユーザーが承認されているすべてのアプリケーションへのアクセスを保護する必要があります。これには、Identity-as-a-Service(IDaaS)のようなクラウドベースのIDと連携しない、または連携できない従来のアプリケーションやカスタム アプリケーションも含まれなければなりません。これらのアプリケーションの多くがオンプレミス、データ センタ、プライベート クラウドに残っています。またそのほとんどはKerberosやヘッダーベースなどの従来の認証方法もサポートしています。これらはSecure Assertion Markup Language(SAML)やOpenID Connect(OIDC)、OAuthなどの最新の認証および承認プロトコルをサポートできず、ID連携やシングル サインオン(SSO)、さらにはMFAにも対応していません。
BIG-IP APMがこの問題を解決します。BIG-IP APMは、Microsoft(Azure Active Directory)、OktaなどのIDaaSプロバイダと緊密に連携し、最新の認証と従来の認証の間のIDのギャップを解消します。BIG-IP APMにより、従来のアプリケーションやカスタム アプリケーションはID連携とSSOをサポートできるようになります。BIG-IP APMはアクセス制御を一元化してアプリケーション アクセスを簡素化することでユーザー エクスペリエンスを向上するだけでなく、IDの安全で信頼できるソースも確保します。BIG-IP APMはすべてのアプリケーションに対してMFAを有効にすることで、すべてのアプリケーションを不適切なアクセスから保護し、適切なアプリケーション アクセスを保証するためのセキュリティ層を追加します。BIG-IP APMは、アプリケーションがどこでホストされているかにかかわらずアプリケーションへのユーザー アクセスを管理して保護することができる一元化された単一制御点となります。
図2:BIG-IP APMは、アプリケーションがどこでホストされているかにかかわらずアプリケーションへのユーザー アクセスを管理して保護できる一元化された単一制御点となる。
まとめ
F5 BIG-IP APMは、Identity Aware Proxyをサポートすることによりゼロ トラスト アプリケーション アクセスの導入を実現します。また要求ごとのアプリケーション アクセスを可能にし、場所や認証/承認方法にかかわらずすべてのアプリケーションへのアクセスを保護して管理します。BIG-IP APMはF5の代名詞である拡張性と信頼性をもたらし、業界をリードするF5のフルプロキシ アーキテクチャを活用します。
BIG-IP APMとIdentity Aware Proxyによりインフラストラクチャのコストが削減され、アプリケーションのセキュリティが向上し、ユーザーと管理者のエクスペリエンスが強化されます。