ゼロトラスト ID セキュリティとは
Google Cloud Japan Team
※この投稿は米国時間 2020 年 12 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。
ゼロトラスト ネットワークとは、すべての人員、デバイス、ネットワークを本質的に信頼できないとみなすものです。情報にアクセスするためには必ず信頼を獲得する必要があり、そのための最初のステップは有効な ID を提示することです。システムは、ユーザーに対してどの情報へのアクセスを許可するかを決定する前に、ユーザーの身元を確認(認証)する必要があります。この認証に認可、すなわちそのユーザーがどの情報にアクセスを許可されるかを加えることで、ゼロトラスト セキュリティの中核的な基盤ができ上がります。
Google では、企業ネットワークに特権を与えるというアプローチから脱却するため、BeyondCorp というゼロトラスト システムを使用しています。
GCP コミックの今号では、友人が離れた場所の親戚を訪問するときに信頼を獲得する方法について解説します。
ゼロトラスト モデルをセットアップする理由
ゼロトラスト システムをセットアップすることで、いくつかの利点があります。
従業員が自宅、オフィス、喫茶店、その他どの場所にいても、作業の生産性を維持できます。
従来の VPN システムよりも短時間で迅速に展開でき、すぐに使用を開始できます。
ノートパソコンにコーヒーをこぼしてしまったなど、予期せず障害が発生した場合も、新しいデバイスへのアクセスをすぐに開始できます。
ウェブ アプリケーションごとに別のアクセス制御を行え、正確なセキュリティを確保してリスクを低減できます。
ID、デバイスの健全性、場所、時刻、その他の要因に基づいてアクセスを決定できます。
Google のゼロトラスト ツールはあらゆるパブリック クラウドやオンプレミスのワークロードを保護できるので、セキュリティ強化のためにアプリケーションを移行する必要はありません。
ゼロトラストの利点
摩擦の軽減
ゼロトラスト システムは企業の従業員からは見えません。従業員はログインし、強力な 2 要素認証を使用すれば、作業に移ることができます。
ポータビリティ
認証と認可が場所に制限されません。従来のアクセス制御手法は信頼できるネットワークに依存していたため、確立された企業ネットワーク内の全員に特権アクセスが与えられていました。ゼロトラスト モデルでは、自宅からの作業でも同じシステムやツールのすべてにアクセスできます。
安全性
ゼロトラスト システムに切り替えることで、Google や他の多くの企業は外部への露出を減らし、セキュリティ インシデントを最小限に抑え、フィッシング ベースの攻撃や、侵入後のラテラル ムーブメントを事前に予防できるようになりました。
リソース
BeyondCorp リモート アクセスは Google のエンタープライズ級セキュリティ製品で、Google Cloud、他のクラウド、オンプレミスのワークロードを保護できます。
Google の BeyondCorp は、Google 自身のゼロトラスト実装です。
公開された研究論文で、Google が BeyondCorp モデルをどのように作成、展開、発展させたかを読むことができます。
Identity-Aware Proxy は Google Cloud の保護レイヤで、アプリ、VM、サービスへのコンテキストに応じたアクセス制御を行うために使用されます。
他の GCP コミックについては、gcpcomics.com をご覧ください。Twitter で @pvergadia と @maxsaltonstall をフォローすると、今後の更新の通知を受け取ることができます。
-Google デベロッパー アドボケイト Priyanka Vergadia
-Cloud デベロッパー アドボケイト Max Saltonstall
