ZTNA(Zero Trust Network Access)とは?

ガートナーは、ZTNAを「アプリケーションまたはアプリケーション群の周囲に、IDおよびコンテキストベースの論理的アクセス境界を作成する製品またはサービス」と定義している。アプリケーションは発見から隠され、アクセスはトラスト・ブローカーを介して制限される。要するに、ZTNAは何も信用せず、どのネットワークセグメントも本質的に安全だとは考えていない:ZTNAのデフォルトのセキュリティ姿勢は「すべて拒否」であり、資産の可視性を隠し、ネットワークの攻撃対象領域を大幅に縮小するアプローチです。

ZTNAセキュリティ・アプローチは、クラウド移行、ダイレクト・インターネット・アクセス(DIA)、Work-from-Anywhere(WFA)、管理されていないBYOD/IoTデバイスの使用の普及により、必須となっています。現代のクライアント・ツー・クラウドやWFAネットワークは、ソフトウェアで境界を定義しています。労働者の自宅は支店となり、インターネットは企業ネットワークの一部となっています。「イントラネット」はもはや明確な意味を持たない。

ZTNAの仕組み

ZTNAは、ネットワーク中心ではなく、クライアントからアプリケーションへのアプローチである:

  • ユーザーのアイデンティティとコンテキスト
  • アクセスされるデバイスとアプリケーション(またはその他の資産

ZTNAセキュリティブローカーは、場所に関係なく、各アクセス試行を検証します。企業ポリシーを適用し、資産(アプリケーション、URL、データ、その他の宛先)への最小限の特権によるきめ細かなアクセスを許可します。ZTNAアーキテクチャ

  • ネットワークはトランスポートのみを提供するものと考え、オンプレミスとオフプレミスのユーザー、デバイス、アプリケーション/資産にアーキテクチャ上の違いはない
  • アクセスを要求するエンティティ(ユーザー、デバイス、アプリケーション/資産)、またはエンティティや要求された資産の場所に関係なく、すべての資産アクセスの試行に一貫した企業ポリシーを適用します。
  • すべてのWFAユーザーに、あらゆるデバイスで、あらゆるオンプレミスまたはクラウドアプリケーションの完全なセキュリティを提供します。
  • ネットワークをエンド・ツー・エンドでセグメント化し、正当なユーザが特権クレデンシャル内で許可されたアプリケーションのみにきめ細かくアクセスできるようにします。

ZTNAアーキテクチャ 、いくつかのコンポーネントから構成されている:

  • SDPブローカー/プロキシ:ブローカーはアプライアンスまたはクラウドサービスである。
  • クラウドゲートウェイ:クラウドに配備され、グローバルに分散されたゲートウェイは、企業ネットワークとクラウド/SaaSの接続先に安全に接続します。
  • クライアントエンドユーザーデバイス用のSASE クライアントソフトウェア。クライアントレスでの導入も可能です。
  • 認証サービス:企業の既存のユーザーおよびデバイスのクレデンシャル管理および認証サービスと連動する。
  • 自己管理ポータル:ユーザーとアプリケーションの可視化と管理を提供します。
  • 輸送有線、無線、携帯電話のインターネットまたはイントラネット接続。

ゼロ・トラスト・ネットワーク・アクセスの利点

ZTNAは、ユーザー、デバイス、資産の周囲に、安全で弾力性のあるソフトウェア定義の境界を確立します。このアーキテクチャ 、IT運用とユーザーに多くのメリットをもたらします:

  • VPNアグリゲーション、キャプティブ・ポータル、DDoS対策、グローバル・ロードバランシング、ファイアウォール・スタックなどのアプライアンスやソリューションが不要になります。
  • オンプレミスとクラウドの一貫したセキュリティ・ポリシーの適用、すべてのユーザーとデバイスに対するシームレスなエクスペリエンス、オンプレムまたはクラウド・アクセスのきめ細かなアクセス制御、規制コンプライアンスの簡素化。
  • どこからでも簡単に拡張でき、高性能なクラウドアクセスが可能。遅延の少ないQoE。クラウド配信のゲートウェイ/ブローカーは容易にスケールアップ/ダウンが可能。
  • ロケーションに依存せず、最適化されたデータ・パスにより、アプリケーション・アクセスを最短のレイテンシーで実現。
  • BYODやIoTを含むユーザーとデバイスの認証、手間のかからないインライン・ユーザー認証。クライアントとクライアントレスの展開モデル。
  • インターネット、イントラネット、有線、無線、携帯電話など、企業グレードのすべてのトランスポートを保護する高度な接続性。すべてのクライアントからアプリケーションへの接続には、エンドツーエンドの暗号化トンネルを使用。
  • 攻撃対象領域を削減し、ユーザーに最小限の権限によるアクセスのみを許可。
  • 組織変更や買収に対応する迅速なターンアラウンド

組織におけるZTNAの選択と導入

ZTNAのコンポーネントは、ソフトウェアベースでクラウド配信されるため、既存の環境に簡単に適合する。これらのコンポーネントはプロバイダーによって保守され、常に最新の状態に保たれます。ベンダーやプロバイダーがグローバルに提供しているゲートウェイを活用し、自社のアーキテクチャ迅速に統合することができます。

ZTNAは、最先端のSASE ソリューションの不可欠な要素であり、SASE 戦略の一環として導入するのが最適です。ネットワークがトランスポートとなり、認証/アクセスがその上のソフトウェア・レイヤーとなります。

ZTNAの導入は、すでにSD-WANアーキテクチャ統合されている可能性のある既存のユーザー/デバイスのクレデンシャル管理やセキュリティポリシー管理システムと相互作用する。

ZTNAは主要なSASE ソリューションの不可欠なコンポーネントです。

VersaSASE ソリューションには、完全に統合されたSD-WAN、SWG、CASB、ZTNA、ブランチNGFWaaS、およびクラウドゲートウェイ機能が含まれ、次のような追加メリットがあります:

  • 最適な効率と最小のレイテンシーを実現するシングルパスデータパス。
  • シングルパスソフトウェアアーキテクチャ 機能の繰り返しをなくし、最高のQoEを実現。
  • シングル・ペイン・オブ・グラスですべての機能を管理:SD-WANSWGゼロトラストネットワークアクセスRBICASBNGFWaaSクラウドゲートウェイ
  • 単一のポリシー言語により、すべてのユーザーの包括的なセキュリティとコンプライアンスを保証します。
  • 単一のForward Proxyで管理、作業(1社で証明書を共有)できるため、プロキシのチェインが不要。Versa Forward Proxyは、SD-WAN、ZTNA、SWG、CASBなどあらゆる機能を提供します。
  • VersaクラウドゲートウェイのグローバルPOPネットワーク。
  • 豊富なアクセスオプション:SASE クライアント(認証、ポリシー/コンプライアンス実施、複数アクティブ接続)、標準トンネルオプション(GRE、IKEv2 IPSEC)、統合SD-WANオプション。
無料電子書籍

SASE For Dummies

ベストプラクティス、実際の顧客のデプロイメント、SASE 有効な組織で得られるメリットなど、SASE ビジネスと技術的背景を学びます。

電子ブックを入手する

さらに詳しく

SASE (Secure Access Service Edge)、ネットワーキング、セキュリティ、SD-WAN、クラウドに関する調査、分析、情報を業界のソートリーダー、アナリスト、専門家が提供します。

 

 

ホワイトペーパー

ゼロ・トラスト・セキュリティ

ゼロ・トラストは、組織がアイデンティティとアクセスへのアプローチ方法を根本的に転換することを要求する、セキュリティへの新しいアプローチである。

 

 

 

オンデマンド・ウェビナー60分

ゼロ・トラスト・セキュリティ vs.SASE:アーキテクチャ 深層

グローバルに分散するユーザー、デバイス、アプリケーションを保護する2つのアプローチが市場に登場した:ゼロ・トラスト・セキュリティとセキュア・アクセス・サービス・エッジSASE)である。

 

 

 

ソリューション・ブリーフ

在宅勤務のためのバーサ

Versaは、ホームアプライアンスを使用する在宅勤務ユーザーや、どこからでも作業できる在宅勤務ユーザー向けに、セキュアSD-WANを提供することを可能にしました。