世界でZTNA 2.0が必要とされる理由

By 
May 16, 2022
1 minutes
... views
Announcement
Products and Services
hybrid workforce
zero trust
ZTNA
ZTNA 2.0

ゼロトラストへの関心が最近爆発的に高まっていますが、その原因の一端は、名前がキャッチーであることに加え、サイバーセキュリティ業界で広く使われているように見えることにあります(ゼロトラスト ウォッシングでしょうか)。しかし、ゼロトラストへの関心の高まりには、他にもっと説得力のある理由があります。–それは、必要だからです。

お客様との会話の中で、ハイブリッドワークやアプリケーションへの直接接続に関連したリスクの扱いに苦慮しているという声を多く聞きます。攻撃対象が大幅に拡大する一方で、サイバー攻撃は高度化し量も増えているというのが新しい現実です。アプリケーションや脅威の種類ごとに新しいツールを導入するというモグラたたきのような方法では、セキュリティの管理と適用が過度に複雑化します。

古くて扱いにくいVPNベースのソリューションは、セキュリティとパフォーマンスの観点から役に立たないと多くの企業が気付いています。こういった従来のソリューションでは、コンテキストという概念がないため、アプリケーションベース、ユーザーベース、デバイスベースの最小権限アクセスを適用する仕組みを実現できません。その代わりに、ネットワークセグメント全体に信頼されたアクセス権を与えてしまいます。そしてハイブリッドワークとクラウド移行の時代になり、レガシーであるVPNは用済みとなりました。

ゼロトラスト ネットワーク アクセス(ZTNA)アプローチは、レガシーであるVPNによって生じる問題に対応するために登場しました。しかし、第一世代の製品(ZTNA 1.0と呼んでいます)には、次のような致命的な限界があるため、有用というよりも危険であることが明らかになっています。

  • 過剰なアクセス権はゼロトラストと言えない – IPアドレスやポート番号など、L3/L4のネットワーク構造に基づいてアプリケーションを分類しながらも、粒度の粗いアクセス制御しかサポートしていません。このため、ZTNA 1.0では、特にダイナミックポートやダイナミックIPアドレスを使用するアプリケーションに対して、過剰なアクセス権を与えてしまいます。
  • いったん許可したら放置 – アプリケーションへのアクセスが一度許可されると、その通信はその後永遠に信頼されます。ZTNA 1.0では、ユーザーの行動とアプリケーションの動作は常に信頼できると想定されており、これが惨事を招きます。
  • 不十分なセキュリティ – 一部のプライベートアプリケーションしかサポートしないうえ、マイクロサービスベースのクラウドネイティブなアプリケーション(音声アプリケーションやビデオアプリケーションなどのダイナミックポートを使用するアプリケーション)やサーバー起動型アプリケーション(ヘルプデスクやパッチシステムなど)を適切に保護できません。そのうえ、従来型ZTNAのアプローチでは、SaaSアプリケーションは完全に無視され、データの可視化や管理もほとんどできません。

ZTNA 1.0がレガシーであるVPNに取って代わるという約束は、明らかに果たされずじまいです。そこで別のアプローチが必要となります。

ZTNA 2.0のご紹介

パロアルトネットワークスでは、ZTNA 2.0と呼ぶ新しいアプローチに移行する時期が来たと考えています。ZTNA 2.0は、Prisma Accessから提供され、使いやすく統一されたセキュリティ製品を中心に設計されています。ZTNA 2.0では、次のような機能を提供することでZTNA 1.0の欠点を解消しています。

  • 最小権限のアクセス – アプリケーションをレイヤー7で識別し、IPやポート番号などのネットワーク構造に依存しない、アプリケーションレベルとサブアプリケーションレベルでの正確なアクセス制御を可能にすることで実現します。
  • 継続的な信頼の検証 – アプリケーションへのアクセス権が付与されると、デバイスの状況、ユーザー行動、アプリケーション動作の変化に基づいて、信頼が継続的に評価されます。
  • 継続的なセキュリティ検査 – 許可された接続であっても、すべてのトラフィックを詳細かつ継続的に検査し、ゼロデイ脅威を含めてすべての脅威から防御します。
  • すべてのデータの保護 – プライベートアプリケーションやSaaSも含めて、企業で利用されるすべてのアプリケーションのデータを、一つのDLPポリシーで一貫性を持って管理します。
  • すべてのアプリケーションの保護 – 最新のクラウドネイティブなアプリケーション、レガシーなプライベートアプリケーション、SaaSアプリケーションなど、企業の至る所で使用されるアプリケーションをすべて保護します。これには、ダイナミックポートを使用するアプリケーションや、サーバー起動型の接続を利用するアプリケーションも含まれます。

この時代になって、「仕事に行く」が「仕事をする」になりました。パンデミックのピーク時には、多くの企業がVPNインフラの拡張に力を入れました。しかし、それではうまくいかないとなり、すぐにZTNA 1.0ソリューションに向かいましたが、期待通りにならないことが分かっただけでした。ZTNA 2.0は、ZTNA 1.0の限界を乗り越えるために必要なパラダイムシフトであり、お客様の組織を長期的に支えるものとして間違いのないアーキテクチャなのです。

6月16日のウェビナーでは、Prisma AccessによるZTNA 2.0がどのようにハイブリッドワーカーの安全を守るのかについて、さらに詳しくお話しします。

Related Blogs

Our library of online content is here to help you learn more, no matter what format you prefer or which topic interests you most.

Announcement, Products and Services

「We’ve Got Next」再び

Announcement, Product Features, Products and Services

次世代CASBのイノベーションでSASEにおけるリーダーシップを拡大

Cloud-delivered Security, Mobile Users, Products and Services, 視点

ZTNAの本音トーク: ZTNA 1.0のセキュリティ検査の問題

Announcement, Mobile Users, Products and Services, 視点

ZTNAの本音トーク: ZTNA 1.0の「許可して放置」モデルが惨事を招く理由

Announcement, Partners, Products and Services

NTTとの連携を通じた、最適な従業員セキュリティの提供

Announcement, Products and Services

⽶ Palo Alto Networks、2022 Gartner® Peer Insights™ Customers’ Choice for Security Service Edgeの1社と評価

Why the World Needs ZTNA 2.0

By 
May 11, 2022
4 minutes
... views
Announcement
Products and Services
hybrid workforce
Zero Trust
ZTNA
ZTNA 2.0

Interest in Zero Trust has exploded recently, partly due to its catchy name and seemingly broad usage throughout the cyber security industry (Zero Trust washing?). But, there is also another more compelling reason for the rise in interest in Zero Trust – we really need it.

When speaking with customers, many of them tell me they are struggling to get a handle on the risks associated with hybrid work and direct-to-app connectivity. The new reality is that our attack surfaces have expanded dramatically while cyberattacks continue to grow in volume and sophistication. The whack-a-mole approach of deploying a new tool for every type of application or threat makes security management and enforcement way too complex.

Most organizations have discovered that old and clunky VPN-based solutions just don’t cut it from a security and performance perspective. These legacy solutions have no concept of context and thus do not understand how to apply application, user or device-based, least privilege access. Instead, they give trusted access to entire network segments. In the world of hybrid work and cloud migration, legacy VPN is dead.

Zero Trust Network Access (ZTNA) approaches emerged to address the challenges caused by legacy VPN. However, the first generation of products (which we call ZTNA 1.0) have proven more dangerous than helpful because of several critical limitations:

  • Too Much Access is Not Zero Trust – Supports only coarse-grained access controls while classifying applications based on L3/L4 network constructs, such as IP address and port numbers. Thus, ZTNA 1.0 provides way too much access, especially for apps that use dynamic ports or IP addresses.
  • Allow and Ignore – Once access to an app is granted, that communication is then trusted forever. ZTNA 1.0 assumes that the user and the app will always behave in a trustworthy manner, which is a recipe for disaster.
  • Too Little Security – Only supports a subset of private apps while unable to properly secure microservice-based, cloud-native apps – apps that use dynamic ports like voice and video apps, or server-initiated apps like Helpdesk and patching systems. Moreover, legacy ZTNA approaches completely ignore SaaS apps and have little to no visibility or control over data.

Clearly, ZTNA 1.0 falls short on the promise of replacing legacy VPN. We need a different approach.

Introducing ZTNA 2.0

 

At Palo Alto Networks, we believe it’s time to move towards a new approach we’re calling ZTNA 2.0. Delivered from Prisma Access, ZTNA 2.0 is designed around an easy-to-use, unified security product. ZTNA 2.0 solves the shortcomings of ZTNA 1.0 by delivering the following:

  • Least Privilege Access – Achieved by identifying applications at layer 7, enabling precise access control at the app and sub-app levels, independent of network constructs like IP and port numbers.
  • Continuous Trust Verification – Once access to an app is granted, trust is continually assessed based on changes in device posture, user behavior and app behavior.
  • Continuous Security Inspection – Providing deep and ongoing inspection of all traffic, even for allowed connections, to prevent all threats including zero-day threats.
  • Protection of All Data – Providing consistent control of data across all apps used in the enterprise including private apps and SaaS, with a single DLP policy.
  • Security for All Apps – Safeguarding all applications used across the enterprise, including modern cloud-native apps, legacy private apps and SaaS apps. This includes apps that use dynamic ports and apps that leverage server-initiated connections.

Today, work is no longer a place we go, but an activity we perform. At the height of the pandemic, many businesses focused on trying to scale their VPN infrastructure. When that didn’t work, they quickly pivoted to the ZTNA 1.0 solution, only to discover it didn’t live up to their expectations. ZTNA 2.0 is the necessary paradigm shift to overcome the existing limitations of ZTNA 1.0, and it is the right architecture to support your organization in the long term.

Join me on June 15 where I’ll be discussing in more depth how ZTNA 2.0 with Prisma Access can secure your hybrid workforce.

Related Blogs

Our library of online content is here to help you learn more, no matter what format you prefer or which topic interests you most.

Announcement, Products and Services

We’ve Got Next…Again

Announcement, Cloud-delivered Security, News & Events, Partner Integrations, Partners, Product Features, Products and Services

Palo Alto Networks and Verizon Champion a New Cybersecurity Approach

Announcement, Product Features, Products and Services

Extending Our SASE Leadership with Next-Gen CASB Innovations

Cloud-delivered Security, Mobile Users, Product Features, Products and Services

ZTNA 1.0’s Security Inspection Problem

Announcement, Mobile Users, Points of View, Product Features, Products and Services

Why ZTNA 1.0’s Allow-and-Ignore Model Is a Recipe for Disaster

Announcement, Industrial OT Security, IoT Security, Products and Services, Zero Trust Security

Untangling IT-OT Security Knots with a Zero Trust Platform Approach

Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.

Get the latest news, invites to events, and threat alerts