ゼロトラスト時代のリモートアクセスソリューション評価ガイド:ITディレクター必見のチェックリスト

Table of content

ITディレクターのための技術評価ガイド

リモートアクセスソリューションを評価する際、私たちは同じマーケティング用語にあふれています。すべてのプロバイダーは「軍用グレードの暗号化」、「安全なアクセス」、「コンプライアンス」を約束します。しかし、これらのフレーズは根本的な真実を隠しています。技術的リーダーとして、私たちは安全性がトンネルの暗号化にあるのではなく、基盤となる信頼モデルにあることを知っています。

ほとんどのレガシーソリューション(VPN、複雑なVDI)は、根本的に壊れた信頼モデルに基づいています。

この技術チェックリストを使用して、マーケティングの霧を突破し、特定のソリューションが実際にゼロトラストの時代のために設計されているのか、それとも単なる華やかなゲートウェイであるのかを評価しましょう。

評価チェックリスト

質問 1: アプリケーションデータ(ファイル)はエンドユーザーのデバイスと物理的または論理的に接触していますか?

なぜこの質問をする必要があるのか: これは最も重要な質問です。答えが「はい」であれば、そのソリューションは本質的に不安全です。VPNモデルでは、ファイル(例:datos_estudiantes.xlsx)がトンネルを通過し、ユーザーのエンドポイントのRAMとディスクで処理されます。そのエンドポイントが侵害されている場合、データも侵害されます。

正しい答え(ゼロトラストアーキテクチャ): 「いいえ、決してありません。データとアプリケーションは私たちの境界内の安全なホストで実行されます。エンドユーザーのデバイスは暗号化されたピクセルのフロー(ビデオストリーム)しか受け取らず、データはデータセンターを離れません」。

質問 2: アクセスはどのようにセグメント化されていますか?ユーザーは「ネットワーク」(レイヤー3)にアクセスしますか、それとも「アプリケーション」(レイヤー7)のみですか?

なぜこの質問をする必要があるのか: この質問はVPNの根本的な欠陥を暴露します。VPNはネットワークレベル(レイヤー3)でアクセスを提供します。ユーザーのデバイスに内部IPアドレスを付与し、それを「信頼できる」とし、サブネット全体に可視性を与えます。これは横移動を促進する最大の要因です。

正しい答え(ゼロトラストアーキテクチャ): 「ネットワークへのアクセスは古いモデルです。私たちのソリューションはアプリケーションアクセス(レイヤー7)を提供します。ユーザーのエンドポイントは内部ネットワークに接続せず、LANのIPアドレスも取得しません。ネットワークは不可視のままで攻撃面を排除します」。

質問 3: すでにマルウェアに感染しているエンドユーザーデバイス(BYOD)の脅威モデルは何ですか?

なぜこの質問をする必要があるのか: 「私たちのVPNクライアントにはスキャナーがあります」や「エンドポイントのアンチウイルスを信頼しています」と答えるプロバイダーは、セキュリティの責任をあなたに転嫁しています。BYODデバイスは、侵害されていると仮定すべきです。

正しい答え(ゼロトラストアーキテクチャ): 「エンドポイントの状態は私たちのセキュリティには関係ありません。(質問1と2を参照)エンドポイントは完全に隔離されているため、そのマルウェアは何もできません。ネットワークをスキャンすることもできず、データにアクセスして流出させることもできません。爆発半径はゼロです」。

質問 4: 実装とスケーリングのために必要なネットワークアーキテクチャの変更(VLAN、ファイアウォールルール、ハブ)は何ですか?

なぜこの質問をする必要があるのか: この質問は隠れたコスト(TCO)と複雑さを明らかにします。レガシーソリューション(VDI、高可用性のVPN)は、アクセスを制限しようとするために大規模なネットワーク再アーキテクチャ、負荷分散ハードウェア、新しいVLANセグメント、および複雑なファイアウォールルールを必要としますが、これは脆弱でコストがかかります。

正しい答え(ゼロトラストアーキテクチャ): 「なし。プラットフォームは純粋なソフトウェアのオーバーレイであるべきです。ネットワークのトポロジーやルーティング、VLANの変更を必要としないはずです。既存のインフラストラクチャの上で機能し、単純なアウトバウンド接続のみで動作するべきです」。

質問 5: エンドポイントのセキュリティソフトウェアに依存せず、どのようにデータ流出防止(DLP)を実現しますか?

なぜこの質問をする必要があるのか: 「エンドポイント」が(信頼できるものであっても)接続できる場合、ユーザーはデータを流出させようとする可能性があります(USBにコピーする、ローカルで印刷する、クリップボードを使用する)。多くのソリューションはエンドポイントでエージェントを使用してこれをブロックしようとしますが、これらは悪意のあるユーザーやマルウェアによって無効にされる可能性があります。

正しい答え(ゼロトラストアーキテクチャ): 「DLPの制御はクライアント側ではなく、サーバー側で実施するべきです。私たちのプラットフォームは、クリップボードのリダイレクト、ローカル印刷、USBドライブのマッピングを無効にするホストレベルのポリシーを適用します。エンドポイントはセッションを制御しないため、これらのポリシーを無効にする能力はありません」。

論理的結論

現在または潜在的なプロバイダーがこれらの5つの質問に満足のいく回答を提供できない場合、そのソリューションはゼロトラストアーキテクチャではありません。それは継承されたリスクです。

この完全隔離モデル—すなわちデータは出ず、ネットワークは不可視で、エンドポイントは無関係—は理論上のものではなく、AnyClassroomの設計の核心です。当社は、ユーザーをネットワークに「接続」するのではなく、アプリケーションをユーザーに「ストリーミング」するためにプラットフォームを設計しており、リスクを単に管理するのではなく、根本的に排除しています。

Haz clic para continuar leyendo

Published at

Leave a comment

Your email address will not be published

No comments yet!