AWS でのゼロトラスト

ゼロトラストアプローチで高度なセキュリティモデルを目指す

AWS でのゼロトラストとは?

ゼロトラストとは、データへのアクセスはネットワークの場所だけに基づき実行すべきではない、という考えを中核としたセキュリティモデルです。このモデルでは、ユーザーとシステムは自身のアイデンティティと信用度を強く証明することが求められ、アプリケーション、データ、その他のシステムへのアクセスを許可する前に、きめ細かな ID ベースの承認ルールが適用されます。ゼロトラストで使用するこれらの ID は、多くの場合、攻撃可能領域をより小さくし、データへの不必要な経路を排除し、外部の明解なセキュリティガードレールを実現する、柔軟性の高い ID 認識ネットワーク内で運用されます。 

AWS でのゼロトラストアーキテクチャ構築

ゼロトラストセキュリティモデルへの移行は、まず自分のワークロードポートフォリオを評価し、ゼロトラストで強化される柔軟性とセキュリティが最大のメリットをもたらす領域を特定することから始まります。次に、ゼロトラストの概念の適用、つまり、ID、認証、およびデバイスの状態や正常性を含むその他のコンテキスト指標の再考を行い、現状のセキュリティに現実的かつ有意義な改善を施します。この取り組みを支援するために、AWS ID およびネットワーキングサービスの多くが、中核的なゼロトラストの構築ブロックを、新規および既存のワークロードの両方に適用できる標準機能として提供しています。 

利点

ゼロトラストセキュリティモデルでは、ID やデバイスポスチャなどの信頼要素に基づいて、アプリケーションやリソースへの安全なアクセスをユーザーに提供できます。

不要な通信経路を排除することで、最小特権の原則が適用され、重要なデータをより適切に保護できます。 

IT チームはゼロトラストを導入することで、ID、デバイス、行動などの幅広いコンテキストを取り入れながら、アクセス制御に関してよりきめ細かい、継続的かつ適応的な意思決定を行い、セキュリティの水準を引き上げることができます。

ユースケースを詳しく見る

2 つのコンポーネントが通信する必要がなければ、同じネットワークセグメント内に存在する場合であっても、それを許可すべきではありません。この管理は、コンポーネント間の特定のフローに対する承認により実現できます。 システムの性質に応じて、Amazon VPC Lattice を使用した組み込み型の認証と承認、セキュリティグループを使用して構築された動的なマイクロペリメータ、Amazon API Gateway によるリクエスト署名などの、簡素化および自動化されたサービス間接続により、これらのアーキテクチャをコンストラクトできます。 

現代において、従業員は、セキュリティを犠牲にすることなく、どこからでもビジネスアプリケーションにアクセスする必要があります。これは AWS Verified Access で実現できます。このサービスにより、VPN なしで企業アプリケーションへの安全なアクセスが実現されます。 既存の ID プロバイダー (IdP) とデバイス管理サービスを簡単に接続し、アクセスポリシーを使用してアプリケーションアクセスを厳密に制御すると同時に、シームレスなユーザーエクスペリエンスを提供し、セキュリティ体制を強化します。またこれは、Amazon WorkSpaces ファミリーAmazon AppStream 2.0 などのサービスでも実現が可能です。これらのサービスでは、Amazon VPC や接続されているプライベートネットワーク内でデータを安全に保ちながら、アプリケーションを暗号化されたピクセルとしてリモートユーザーにストリーミングします。

デジタルトランスフォーメーションのプロジェクトでは、センサー、コントローラー、クラウドベースの処理およびインサイトがしばしば接続され、そのすべてが従来型のエンタープライズネットワークの外部で運用されます。AWS IoT ファミリーでは、重要な IoT インフラストラクチャを保護するために、標準機能として備わったデバイスの認証と承認により、オープンネットワークにおけるエンドツーエンドのセキュリティを提供できます。

関連する AWS サービスを始める

リソース

ブログ記事、ビデオ、ワークショップ、最新情報の投稿、トレーニングで AWS でのゼロトラストの詳細をご覧ください。