この章では、「ネットワークエージェント」という新しい概念を導入しました。これはゼロトラストネットワークにおいて認可決定を行う新たなエンティティで、この概念を追加することはゼロトラストネットワークの利点を得るために重要です。
ゼロトラストネットワークでは、セキュリティは「信頼しないこと、常に確認すること」を原則としています。この原則の下では、ネットワーク内部のリソースにアクセスするすべてのエンティティ(ユーザー、デバイス、アプリケーションなど)は、そのアクセスが許可されるためには必ず確認を受ける必要があります。
ここで「ネットワークエージェント」の役割が重要になります。ネットワークエージェントは、アクセスを要求するエンティティについての情報を保持し、その情報を基に認可決定を行います。エージェントは短時間で変化するデータを含む可能性があり、このデータは時に利用できない、または不一致であることがあります。しかし、この現実を受け入れ、適切にハンドリングすることで、ネットワークエージェントはゼロトラストネットワークのセキュリティを強化するのに役立ちます。
ネットワークエージェントを導入することで、認証と認可が分離され、それぞれが独立して管理されることが可能になります。これにより、より細粒度の認可決定が可能となり、セキュリティの強化につながります。また、エージェントによる認可処理を統一することで、全体としてのシステムの複雑性を減らすことができます。これらの特性が、ゼロトラストネットワークの利点を最大化するためにネットワークエージェントが重要な役割を果たす理由です。
Chapter 4では、ゼロトラストネットワーク内のすべてのリクエストを承認するシステムに焦点を当てます。