デバイスとゼロトラスト
Google Cloud Japan Team
※この投稿は米国時間 2021 年 3 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。
ゼロトラスト環境では、アクセス権を付与されるためにすべてのデバイスが信頼を獲得する必要があります。セキュリティ システムは、アクセス権を付与すべきかどうかの判断材料として、実行中のソフトウェアや OS の最終更新日時といったデバイスのメタデータを使用し、そのデバイスが組織の「健康チェック」の最低要件を満たしているかどうかを確認します。
これは、人間の体温のようなものです。37 度 5 分未満では安全ですが、それを超えると医学的に発熱の領域に入り、一部の施設には立ち入ることができない可能性があります。
ゼロトラストでのアクセス権の判断基準は「誰」が「何」を使用しているのか
今号の GCP コミックでは、デバイスについて取り上げ、ゼロトラスト環境におけるデバイスの立ち位置に関して解説します。
デバイスのデータには多数の形式があり、またそのソースも多数あります。複数のシステムから複数の種類のデータを収集し、そのデータから十分な情報を得て、重要なシステムにアクセスできるデバイスを判断することをおすすめします。
データの種類の例を以下に示します。
オペレーティング システムのバージョン: サポート対象外の古いリリースのアクセスを制限できます
パッチの適用日: パッチが適用されていない脆弱性が存在するかどうかを確認できます
最後のチェックインの日付: 対象のマシンが「オフライン」であった期間を把握できます
インストールされているバイナリ: 既知のマルウェアや危険な実行可能ファイルがあるかどうかを確認できます
最近実行された実行可能ファイル: 不審なものが実行されたままになっていないかを確認できます
ディスクの暗号化: デバイスがデータ保護ポリシーに準拠しているかどうかを確認できます
位置データ: 一部のツールへのアクセスを、特定の都市、州、国のみに制限できます
最近ログインしたユーザー: 対象のデバイスが他の人物と共有されている可能性があるかどうかを確認できます
これらのデータは、以下のような多数のソースから収集できます。
DNS サーバー
DHCP サーバー
ローカル エージェント
モバイル デバイス管理ソリューション
OS 固有の管理ツール
このトピックについて詳しくは、以下のリソースをご覧ください。
OSQuery - オープンソースのエンドポイント可視化ツール
Endpoint Verificationエンドポイント検証 - Google Cloud のインベントリ管理
他の GCP コミックについては、gcpcomics.com をご参照ください。また、Twitter で @pvergadia と @maxsaltonstall をフォローすると、次号の情報をチェックできます。
-Google デベロッパー アドボケイト Priyanka Vergadia
-Cloud デベロッパー アドボケイト Max Saltonstall
