Zero TrustインフラアクセスプラットフォームのBastionZeroがCloudflareに加わったことを発表でき、嬉しく思います。この買収により、サーバー、Kubernetesクラスタ、データベースなどのインフラへのネイティブアクセス管理機能が備わり、当社のZero Trustネットワークアクセス(ZTNA)のフローが拡張されます。
セキュリティチームは、しばしばアプリとインターネットアクセスを優先します。なぜならアプリとインターネットアクセスは、ユーザーが企業のリソースとやり取りしたり、外部の脅威がネットワークに侵入したりする主要なベクトルであるからです。アプリは通常、組織のデジタルフットプリントの中で最も可視性が高くアクセスしやすい部分であるため、しばしばサイバー攻撃の標的になります。シングルサインオン(SSO)や多要素認証(MFA)のような方法でアプリケーションアクセスを保護すれば、ユーザーセキュリティを即座に具体的に改善できます。
しかし、インフラへのアクセスも同様に重要であり、多くのチームはサーバー、データベース、Kubernetesクラスターなどのインフラを保護するために、依然として「城と堀」スタイルのネットワーク制御とローカルリソース許可に依存しています。これは、数百または数千のターゲットにわたりセキュリティ管理が断片化されるため、困難でリスクを伴います。悪意のあるアクターが、膨大な量のアプリを一度にダウンさせたり、機密データを盗んだりする方法として、インフラリソースを標的にすることがますます増えています。Cloudflareでは、ユーザーベースおよびデバイスベースのポリシーと多要素認証によって、Cloudflare OneのZero Trustネットワークアクセスを拡張し、インフラをネイティブに保護できることを大変嬉しく思います。
アプリ対インフラへのアクセス
通常、アプリケーションへのアクセスでは、Webベースまたはクライアントサーバアプリケーションとのやりとりが伴います。多くの場合、これらのアプリケーションは、シングルサインオン(SSO)などの最新の認証メカニズムをサポートし、ユーザー認証を効率化して、セキュリティを強化します。SSOは、IDプロバイダー(IdP)との統合により、シームレスで安全なログイン体験を提供し、パスワード疲れやクレデンシャル窃取のリスクを低減します。
一方、インフラへのアクセスには、サーバー、データベース、ネットワーク機器など、より広範で多様なシステムが関係しています。多くの場合、これらのシステムは、管理アクセスのためにSSH(Secure Shell)、RDP(Remote Desktop Protocol)、Kubectl(Kubernetes)などのプロトコルに依存します。これらのプロトコルの性質は、インフラへのアクセスの保護をより困難にし、さらなる複雑さを生み出します。
- SSH認証:SSHはLinuxおよびUnixベースのシステムにアクセスするための基本的なツールです。SSHアクセスは通常、パブリックキー認証によって容易になります。この認証を通じてユーザーは、ターゲットシステムが受け入れられるように設定されたパブリックキー/プライベートキーペアを発行されます。これらのキーは信頼できるユーザーに配布し、頻繁にローテーションし、漏洩がないか監視する必要があります。キーが誤って漏洩した場合、SSHアクセス可能なリソースに対する直接の制御を、悪用者に許可してしまう可能性があります。
- RDP認証:RDPは、Windowsベースのシステムへのリモートアクセスに広く使用されています。RDPは、パスワードベースや証明書ベースなど、さまざまな認証方法をサポートしてはいるものの、頻繁に総当たりパスワード攻撃やクレデンシャルスタッフィング攻撃の標的になります。
- Kubernetesの認証:Kubernetesは、コンテナオーケストレーションプラットフォームとして、認証に関する独自の課題があります。Kubernetesクラスタへのアクセスでは、ロール、サービスアカウント、kubeconfigファイルをユーザー証明書とともに管理する必要があります。
今日におけるCloudflare Oneでのインフラアクセス
Cloudflare Oneは、従来のVPNよりも優れたアプローチで、インフラリソースのZero Trustネットワークアクセス(ZTNA)を促進します。管理者は、ユーザーが特定のIPアドレス、ホスト名、ポートの組み合わせにアクセスできるかどうかを指示する、ID、デバイス、およびネットワーク認識ポリシーのセットを定義できます。これにより、「IDプロバイダーグループ「developers」のユーザーだけが、当社の企業ネットワークのポート22(デフォルトSSHポート)を介してリソースにアクセスできる」のようなポリシーを作成でき、基本的なファイアウォールポリシーを持つVPNよりもはるかに細かく制御できるのです。
ただし、このアプローチには、企業のインフラがどのようにプロビジョニングおよび管理されるかに関する一連の前提に基づいているため、依然として限界があります。インフラリソースが、想定されるネットワーク構造の外で設定されている場合、例えば、非標準ポートを介したSSHは許可されますが、すべてのネットワークレベルの制御はバイパスされる可能性があります。これにより、そのリソースを保護するのは特定のプロトコルのネイティブ認証保護だけになり、SSHキーやデータベース認証情報の漏洩が、より広範なシステム停止や侵害につながる可能性があります。
多くの組織は、追加の多層防御戦略として、要塞ホストモデルや複雑な特権アクセス管理(PAM)ソリューションのような、より複雑なネットワーク構造を活用します。しかし、これはITセキュリティチームにとってコストと管理オーバーヘッドがかなり増大することにつながり、最小特権アクセスに関連する問題を複雑化することもあります。要塞ホストやPAMソリューションのようなツールは、ポリシーが拡大、変更、または企業のセキュリティスタンスから逸脱するために、時間の経過とともに最小特権を喪失していきます。これは、機密性の高いインフラへのアクセスを誤って保持することにつながります。
BastionZeroとの適合性
長年にわたり、Cloudflareはあらゆる規模の組織が簡単かつ迅速にVPNを置き換えられるようにすることを目標に掲げてきましたが、BastionZeroは、CloudflareのVPN代替ソリューションの範囲をアプリとネットワーク以外にも拡大し、Zero Trust制御をインフラリソースに拡張する際と同じレベルのシンプルさを提供します。これにより、セキュリティチームはハイブリッドIT環境の管理の多くを一元化し、標準的なZero Trustプラクティスを使用してDevOpsチームの生産性と安全性を維持することができます。CloudflareとBastionZeroは協力して、企業がVPNだけでなく、要塞ホストや、SSH、Kubernetes、またはデータベースキー管理システム、さらに、冗長なPAMソリューションを置き換えることを支援します。
BastionZeroは、SSH、RDP、Kubernetes、データベースサーバーなどの主要なインフラアクセスプロトコルとターゲットへのネイティブ統合を提供し、ネットワークレベルの制御に依存することなく、ターゲットリソースが特定のユーザーの接続を受け入れるように設定されていることを保証します。これにより管理者は、IPアドレスやポートではなく、リソースやターゲットという観点から考えることができるのです。さらに、BastionZeroは、OpenID Connect(OIDC)で暗号化キーにIDをバインドするオープンソースライブラリであるOpenPubkey上に構築されています。OpenPubkeyを使用することで、インフラへのアクセス許可にSSOを使用できるようになります。BastionZeroは複数の信頼ルートを使用して、お客様のSSOが、重要なサーバーやその他のインフラストラクチャの単一の侵害点にならないようにするのです。
BastionZeroによってCloudflareのSASEプラットフォームに追加される機能:
- 新しい一過性の分散型アプローチにより、クレデンシャル管理を最新化する摩擦のないインフラ特権アクセス管理(PAM)機能(例:SSHキー、kubeconfigファイル、データベースパスワード)を使い、長期間キー/クレデンシャルを排除します。
- DevOpsに基づくSSH接続の安全性を確保するためのアプローチで、最小権限アクセスのサポート、セッションの記録、コンプライアンス要件のサポートに必要な可視性の向上のために、すべてのコマンドをログに記録します。チームは、ジャストインタイムアクセスポリシーを定義し、ワークフローを自動化できるため、IPアドレスやネットワークではなく、自動検出されたターゲットに基づいて運用できます。
- クライアントレスRDPにより、ユーザーのデバイスにクライアントをインストールすることなく、デスクトップ環境へのアクセスをサポートします。
BastionZeroの次なる展開
BastionZeroチームは、インフラアクセス制御をCloudflare Oneに直接統合することに注力します。今年の第3および第4四半期中に、Cloudflare Oneを通じてZero Trustインフラアクセスを容易にする新機能を多数発表する予定です。今年提供される機能はすべて、ユーザー50人未満である組織向けのCloudflare Oneの無料利用枠に含まれます。誰もが世界クラスのセキュリティ制御にアクセスできるようにすべき、とClourflareは考えています。
当社は、インフラアクセスに関して希望する機能について、フィードバックを提供してくれる初期ベータテスターおよびチームを探しています。さらに詳しい説明をご希望の方は、こちらからサインアップしてください。