AWS でのゼロトラスト
ゼロトラストアプローチで高度なセキュリティモデルを目指す
AWS でのゼロトラストとは?
ゼロトラストとは、データへのアクセスはネットワークの場所だけに基づき実行すべきではない、という考えを中核としたセキュリティモデルです。このモデルでは、ユーザーとシステムは自身のアイデンティティと信用度を強く証明することが求められ、アプリケーション、データ、その他のシステムへのアクセスを許可する前に、きめ細かな ID ベースの承認ルールが適用されます。ゼロトラストで使用するこれらの ID は、多くの場合、表面的露出をより小さくし、データへの不必要な経路を排除し、外部の明解なセキュリティガードレールを実現する、柔軟性の高い ID 認識ネットワーク内で運用されます。
ゼロトラストセキュリティモデルへの移行は、まず自分のワークロードポートフォリオを評価し、ゼロトラストで強化される柔軟性とセキュリティが最大のメリットをもたらす領域を特定することから始まります。次に、ゼロトラストの概念の適用、つまり、ID、認証、およびデバイスの状態や正常性を含むその他のコンテキスト指標の再考を行ない、現状のセキュリティに現実的かつ有意義な改善を施します。この取り組みを支援するために、AWS ID およびネットワーキングサービスの多くが、中核的なゼロトラストの構築ブロックを、新規および既存のワークロードの両方に適用できる標準機能として提供しています。
注目のリソース
eBook – ゼロトラスト: セキュリティ強化に向けた計画立案
組織とともにサイバーリスクが進化する中では、セキュリティモデルにも対応が求められます。 ゼロトラストについてと、それを利用して、現代の環境に適応する多層セキュリティ戦略を構築する方法を学びましょう。
動画 – AWS でのゼロトラスト向けたジャーニー (41:27)
AWS Network Firewall およびファイアウォール担当ゼネラルマネージャーの Jess Szmajda と、CISO オフィスプリンシパルの Quint Van Deman が登場する、この re: Inforce 2023 リーダーシップセッションを見て、ゼロトラストセキュリティモデルを実装するための AWS 最新機能の使用方法を学びましょう。
ブログ – ゼロトラストアーキテクチャ: AWS の視点
ゼロトラストの AWS による指針を読み、一般的なユースケースを探ります。また、AWS のサービスが、今日のゼロトラストアーキテクチャの構築にどのように役立つかを確認します。
AWS アプリケーションネットワーキングによるゼロトラストの実現 (58:55)
この動画では、アクセスの継続的な認証および監視により信頼を確立するセキュリティモデルの設定を可能にする、AWS のアプリケーションネットワーキングサービスについて説明しています。
AWS でゼロトラストを構築するための指針
可能な場合は、ID とネットワーク機能を一緒に使用する
AWS の ID とネットワークの制御は、多くの場合、相互に補完および強化し合い、お客様固有のセキュリティ目標の達成を支援することができます。ID 中心の制御では、非常に強力で柔軟かつきめ細かなアクセス制御を提供します。ネットワーク中心の制御では、その内部でアイデンティティ中心の制御が運用可能な、十分に明解な境界線を簡単に確立できます。理想的には、これらのコントロールでは、お互いを認識し補完し合うことが想定されます。
特定のユースケースから逆算して作業する
従業員の移動、ソフトウェア間のコミュニケーション、デジタルトランスフォーメーションプロジェクトなど、ゼロトラストが提供する強化されたセキュリティから恩恵を受けることができる一般的なユースケースは数多く存在します。セキュリティの大幅な向上を実現する最適なゼロトラストのパターン、ツール、アプローチを決定するには、組織に当てはまる特定のユースケースから、逆算的に作業を進めることが重要です。
価値に応じてシステムやデータにゼロトラストを適用
ゼロトラストの概念は、既存のセキュリティ制御に追加するものと考える必要があります。保護対象のシステムやデータが組織に与えている価値に従って、ゼロトラストの概念を適用することで、その努力に見合った利益がビジネスにもたらされます。
注目のお客様事例
ラボインサイトのプロバイダーである Avalon Healthcare Solutions (Avalon) は、VPN を利用せずに、ビジネスレポートや健康データへの、ウェブブラウザを通じた安全かつ便利なアクセスをユーザーに提供したいと考えていました。2013 年に設立された Avalon は、当初から企業アプリケーションのために Amazon Web Services (AWS) のゼロトラストフレームワークを使用してきました。
「当社の主要な技術目標の 1 つは、ゼロトラストの原則を堅持しながら、ユーザーエクスペリエンスを最適化することです」と Avalon Healthcare Solutions の AVP Enterprise Cloud Technology である Eric Ellis 氏は述べています。「新しいビジネス要件に対応しなければならなくなったため、企業アプリケーションをネットワークのエッジに配置する必要性を感じました。AWS Verified Access により、当社のセキュリティエンジニアとテクニカルエンジニアは、VPN を利用せずに、わずか数分で企業アプリケーションへのゼロトラストベースのアクセスをプロビジョニングできました。Verified Access により、厳格なゼロトラストポリシーを損なうことなく、重要なサービスの提供とユーザーエクスペリエンスの改善を整合させるという重要な課題に取り組むことができました」。
Avalon Healthcare Solutions が AWS Verified Access を利用してセキュリティを強化した方法の詳細をご覧ください。
Neo Financial はカナダの企業で、最先端のテクノロジーを採用しており、年会費無料のクレジットカード、無制限のキャッシュバック、柔軟なクレジット限度額などの価値の高いサービスを提供しています。 Neo Financial は、ネットワーク接続ではなく、ユーザーの認証情報に基づいてリソースへのアクセスを付与するセキュリティモデルへの移行を望んでいました。
Neo Financial は、Amazon WorkSpaces Secure Browser を利用して、ネットワークアクセスに依拠せずに、ユーザー固有の認証情報に基づいてリソースへのアクセスをユーザーに付与することで、ゼロトラストイニシアティブを推進しています。 「Amazon WorkSpaces Secure Browser を利用すると、管理するサーバーが少なくなり、シングルサインオンを使用してビジネス全体の認証を管理できるため、ゼロトラストの目標を達成するのに役立ちます」と Neo Financial の Director of Infrastructure である Eric Zaporzan 氏は述べています。「これらすべての要素は、Payment Card Industry Data Security Standard (PCI DSS) や他のコンプライアンス対策の監査をよりシンプルにするのに役立ちます」。
Neo Financial が Amazon WorkSpaces Secure Browser を利用してゼロトラストアクセスを実装した方法の詳細をご覧ください。
AWS 内で採用されているゼロトラストの原則
AWS API リクエストへの署名
AWS のお客様それぞれが、日々、自信を持って安全に AWS とやり取りし、多様なパブリックネットワークとプライベートネットワークにおいて、何十億回もの AWS API コールを実行しています。これらの署名付き API リクエストのひとつひとつが、世界中で毎秒 10 億リクエストを超える速度で、毎回個別に認証・承認されています。Transport Layer Security (TLS) を使用したネットワークレベルの暗号化と、AWS Signature Version 4 の署名プロセス の強力な暗号化機能を組み合わせて使用することで、基盤となるネットワークの信頼性を考慮せずにこれらのリクエストを保護できます。
AWS のサービス間のやり取り
個々の AWS サービスが相互に呼び出しを行う必要がある場合のセキュリティメカニズムには、ユーザーと同じものが使用されます。例えば、Amazon EC2 Auto Scaling サービスでは、短期間の認証情報を受け取るためにアカウントのサービスにリンクされたロールを使用し、スケーリングのニーズに応じて、Amazon Elastic Compute Cloud (Amazon EC2) API を自動的に呼び出します。これらの呼び出しは、AWS サービスへの呼び出しと同様に、AWS Identity and Access Management (IAM) によって認証および承認されます。ID 中心の強力な制御は、AWS のサービス間のセキュリティモデルの基礎を形成します。
IoT 向けゼロトラスト
AWS IoT は、以前はオープンインターネットを経由した認証も暗号化もされていないネットワークメッセージングが標準であった技術領域に、ゼロトラストの基本コンポーネントを提供します。接続されている IoT デバイスと AWS IoT サービス間のすべてのトラフィックは、Transport Layer Security (TLS) を介し、証明書ベースの相互 TLS を含む最新のデバイス認証を使用して送信されます。さらに AWS では、FreeRTOS に TLS サポートを追加し、あらゆるクラスのマイクロコントローラと組み込みシステムに対し、ゼロトラストの主要な基本コンポーネントを導入しました。
ユースケース
ソフトウェア間コミュニケーション
2 つのコンポーネントが通信する必要がなければ、同じネットワークセグメント内に存在する場合であっても、それを許可すべきではありません。この管理は、コンポーネント間の特定のフローに対する承認により実現できます。不要な通信経路を排除することで、最小特権の原則が適用され、重要なデータをより適切に保護できます。システムの性質に応じて、Amazon VPC Lattice を使用した組み込み型の認証と承認、セキュリティグループを使用して構築された動的なマイクロペリメータ、Amazon API Gateway によるリクエスト署名などの、簡素化および自動化されたサービス間接続により、これらのアーキテクチャをコンストラクトできます。
従業員移動の保護
現代において、従業員は、セキュリティを犠牲にすることなく、どこからでもビジネスアプリケーションにアクセスする必要があります。これは AWS Verified Access で実現できます。このサービスにより、VPN なしで企業アプリケーションへの安全なアクセスが実現されます。既存の ID プロバイダー (IdP) とデバイス管理サービスを簡単に接続し、アクセスポリシーを使用してアプリケーションアクセスを厳密に制御すると同時に、シームレスなユーザーエクスペリエンスを提供し、セキュリティ体制を強化します。またこれは、Amazon WorkSpaces ファミリーや Amazon AppStream 2.0 などのサービスでも実現が可能です。これらのサービスでは、Amazon VPC や接続されているプライベートネットワーク内でデータを安全に保ちながら、アプリケーションを暗号化されたピクセルとしてリモートユーザーにストリーミングします。
デジタルトランスフォーメーションプロジェクト
デジタルトランスフォーメーションのプロジェクトでは、センサー、コントローラー、クラウドベースの処理およびインサイトがしばしば接続され、そのすべてが従来型のエンタープライズネットワークの外部で運用されます。AWS IoT ファミリーでは、重要な IoT インフラストラクチャを保護するために、標準機能として備わったデバイスの認証と承認により、オープンネットワークにおけるエンドツーエンドのセキュリティを提供できます。