BeyondCorp Enterprise: マルチクラウド向けの真のゼロトラスト アーキテクチャ

※この投稿は米国時間 2021 年 2 月 4 日に、Google Cloud blog に投稿されたものの抄訳です。

先日、Google の包括的なゼロトラスト プロダクトである BeyondCorp Enterprise が一般提供となったことを発表いたしました。Google はゼロトラストの普及に取り組んでおり、さまざまな環境のお客様に対応したソリューションを構築することが私たちの最優先事項でした。Google には、グローバル規模でのクラウド アプリケーションの管理と保護に 10 年以上の経験があります。この新しいプロダクトは、Google が自社を管理した経験から学んだ知識、お客様やパートナー様からのフィードバック、エンジニアリングとセキュリティに関する最先端の研究に基づいて開発されました。私たちは、多くのお客様はさまざまなクラウド プロバイダにまたがるリソースをホストしており、ゼロトラストへの取り組みには複雑さが伴うことも理解しています。そうした状況を踏まえ、BeyondCorp Enterprise はマルチクラウド ソリューションとして特別に構築されており、お客様が Google Cloud やオンプレミスだけでなく、Azure や Amazon Web Services（AWS）などの他のクラウドでホストされているリソースにも安全にアクセスできるようになっています。

BeyondCorp Enterprise はバーチャル プライベート ネットワーク（VPN）を必要とすることなく、内部アプリケーションや SaaS アプリケーション、クラウド リソースにコンテキストアウェア アクセス制御を実現し、脅威からデータを保護する統合機能を提供します。また、Google のグローバル ネットワーク インフラストラクチャでホストされており、用途に基づき柔軟にスケーリングできるため、お客様は、従業員、請負業者、臨時従業員、パートナーなどのさまざまなユーザー グループの安全なアクセスを管理することができます。

次の図は、BeyondCorp Enterprise のアーキテクチャの概要を示しています。ご覧のとおり、BeyondCorp Enterprise は Google Cloud だけでなく、他のクラウドやオンプレミスでホストされているアプリケーションとリソースもサポートしています。

では、これがお客様にとって何を意味し、BeyondCorp Enterprise がどのように役立つのでしょうか？

Google は BeyondCorp Enterprise を使用したマルチクラウド環境への取り組みに力を入れて継続的に取り組んでいます。お客様はさまざまなクラウドやベンダーが混在する環境を利用しているため、すべてのリソースを 1 つのプロバイダでホストすることは現実的とは言えません。そのため、他のクラウドにあるアプリへのアクセスをサポートするだけでなく、他の大手テクノロジー ベンダーとの統合も行って、お客様が既存の投資を活用できるよう配慮してまいりました。ゼロトラスト アーキテクチャの可能性に限りはありません。Google のエコシステムはセキュリティ パートナーが簡単に拡張できるように構築されており、脅威やデータ損失といった追加のシグナルも含めるようにルールセットを強化することができます。

BeyondCorp Enterprise は、ユーザー属性とデバイス属性を組み合わせた条件を使用します。たとえば、リソースにアクセスしようとしたユーザーのロケーション、ユーザーがリソースにアクセスしようとした時刻、ユーザーがリソースのアクセスに使用しているデバイスの種類を使用します。また、BeyondCorp Enterprise は Chrome ブラウザの Endpoint Verification も利用して、アプリケーションにアクセスするデバイスの状況を識別します。こうしたさまざまなパラメータは、「許可」または「拒否」のルールとポリシーを構成するために使用されます。これらは、Cloud Identity-Aware Proxy や他のコントロールの組み合わせによって適用されます。

セキュリティに「ベスト オブ ブリード」アプローチを採用している企業のお客様にとって、ゼロトラストへの Google のアプローチと BeyondCorp Enterprise アーキテクチャは戦略を補完するものとなります。たとえば、エンドポイントの検出および応答ソリューションや統合エンドポイント管理（UEM）ソリューションとして Google のいずれかの BeyondCorp Alliance パートナーを使用すれば、こうしたソリューションからのシグナルを統合してポリシーに組み込み、オンプレミス、Google Cloud、他のクラウドにわたってリソースを保護することもできます。このアーキテクチャを通じて、お好みのセキュリティ ベンダーを選択できます。

安全なアクセスを許可すると、BeyondCorp Enterprise によって脅威からのデータ保護機能が提供されます。たとえば、データ損失、データの引き出し、認証情報の盗難、マルウェア、フィッシング攻撃から SaaS アプリケーションやその他のウェブサイトを保護することができます。これらの機能は Chrome ブラウザを通じて提供されるため、Windows、Mac、Linux、ChromeOS のユーザーをサポートできます。そのためお客様それぞれの状況に対応しやすくなり、導入とデプロイが容易になります。

ゼロトラストは環境の全面的な見直しが必要で、1 台のパソコンに複数のエージェントをインストールしなければならないと多くの人が考えていますが、実際に必要なものはウェブブラウザだけなのです。セキュリティ運用を中断させない方法で強力なイノベーションをご利用になれます。

Google は真のエンジニアリング主導の企業であり、イノベーションとグローバル スケールの問題の解決が Google の DNA の中核となっています。Gmail や Google マップ、そしてもちろん Chrome ブラウザなど、世界中のユーザーの働き方を再定義したプロダクトの作成につながったアイデアとプロジェクトを通じて BeyondCorp Enterprise も生まれました。

BeyondCorp Enterprise についてさらに詳しくは、プロダクトのページをご参照ください。2 月 23 日に開催されるウェビナーにもぜひご登録ください。Google アカウント チームにお問い合わせいただくこともできます。