ZTNA 2.0は詳細で継続的なセキュリティ検査を提供
この記事は、5部構成シリーズ「ZTNAの本音トーク」の第3部です。ここでは、アクセス保護の新基準であるZTNA 2.0の5つの理念についてさらに詳しく見ていきます。
新型コロナウイルス感染症の拡大はハイブリッド ワークへの急速な移行をもたらすものでした。そしてこの移行は、どんな場所でも仕事をこなせるよう、必要なアプリケーションにユーザーが安全に接続する新たな方法を求めるものでした。ここで推進されたのがZTNAの採用です。ただし本シリーズでもこれまで述べてきたとおり、ZTNAの当初の実装には大きな不備がありました。
以前の投稿で私は、ZTNA 1.0の「許可して放置」という概念が惨事を招いているとお伝えしました。この概念によれば、一度接続が確立されると、そのセッションの全てのユーザーとデバイスの動作が暗黙的に信頼され、チェックされない状態になります。残念ながら、「許可して放置」アプローチにはもう1つ制限事項があります。トラフィックのセキュリティ検査が封じられてしまうのです。
ZTNA 1.0ではセキュリティ検査が実施されない
「許可して放置」モデルにはセキュリティ検査がありません。ですからZTNA 1.0ソリューションでは悪意のあるトラフィックやその他の侵害されたトラフィックを検出して対応することができません。つまり、トラフィックのペイロードを明らかにして調査し、悪意のあるものや未知のものが入り込んでいるかどうかを判断するインライン制御がないのです。同様に、「トラフィックをブロックする」、「セッションを終了する」、あるいは少なくとも「異常な振る舞いについてレポートする」といったアクションをとる仕組みも備わっていません。
これにより、ZTNA 1.0は「隠ぺいのみによるセキュリティ」のアプローチとなり、さらに組織、ユーザー、アプリ、およびデータを、マルウェア、侵害されたデバイス、悪意あるトラフィックのリスクにさらします。
ZTNA 2.0では継続的にセキュリティ検査が実施される
Prisma Accessが提供するZTNA 2.0は、すべてのトラフィックに詳細で継続的な検査を実施し、ゼロデイ脅威を含むあらゆる脅威を阻止します。この機能は、正規のユーザー資格情報が盗まれ、アプリケーションやインフラストラクチャへの攻撃に使用されるシナリオではとくに重要です。ZTNA 2.0は、非常に高度な脅威からでさえも保護する、WildFireによるサンドボックス化、高度なURLフィルタリング、脅威防御、SaaSセキュリティ、DNSセキュリティなどの充実した保護を提供します。
AIとMLを活用した脅威防御テクノロジにより、95%のゼロデイ脅威がインラインで阻止されます。つまり、最初のひとりの被害者を出すまで、あるいはシグネチャが更新されて保護されるまで待つ必要はないのです。環境は即座に保護されます。
この継続的信頼性検証と継続的セキュリティ検査の組み合わせは、現代のハイブリッド ワークフォースのセキュリティを高め、ZTNA 1.0ソリューションのもつ短所の数々を克服してくれる強力なモデルです。
ZTNA2.0は例外ゼロのゼロ トラスト
ゼロ トラスト体制の追求は長い旅のようなもので、セキュリティ検査を安定した一貫性のある方法で確実に実施することが、重要なステップとなります。だからこそ、継続的なセキュリティ検査はZTNA 2.0の重要な構成要素なのです。
ZTNA 2.0のローンチ イベントをご覧ください。ZTNA 2.0でハイブリッド ワークフォースを保護するイノベーションとベスト プラクティスについて説明しています。次のパロアルトネットワークスの「ZTNAの本音トーク」シリーズをお楽しみに! 次回はZTNA 2.0の第3の原則について説明します。