ゼロトラストネットワークにおいて、認可決定は最も重要なプロセスの一つであり、軽視されるべきではありません。すべてのフローまたはリクエストに対して、最終的には認可決定が必要です。本章では、認可決定を行うために必要なシステムやデータストアについて以下の4つのコンポーネントに分けて解説しています。
1. エンフォースメント エンフォースメントは、ネットワーク上で実際にトラフィックを制御するシステムです。エンフォースメントは、リクエストが許可されるかどうかを判断するためにポリシーエンジンからの指示を受け取ります。
2. ポリシーエンジン ポリシーエンジンは、認可ポリシーを作成し、それらのポリシーが遵守されているかどうかを確認するためのルールセットです。ポリシーエンジンは、エンドユーザーがアクセスできるアプリケーションやサービスなどの資源へのアクセス権限を管理します。
3. トラストエンジン トラストエンジンは、デバイスやユーザーが信頼できるものであるかどうかを判断するために使用されます。トラストエンジンは、デバイスやユーザーが正当なものであることを確認し、その後、ポリシーエンジンによって定義されたアクセス権限を与えます。
4. データストア データストアは、システムの現在および過去の状態の真実の情報源です。これらのデータストアからの情報は、制御プレーンシステムを通じて流れ、認可決定の基礎となります。
本章では、認可決定を行うために必要なシステムやデータストアを厳密に分離することが重要であることを強調しています。なぜなら、これらのシステムやデータストアが分離されている場合、攻撃者が1つのシステムまたはデータストアを侵害しても、他のシステムやデータストアに影響を与えることができません。また、これらのコンポーネントが分離されている場合、管理や保守が容易になります。例えば、特定のデータストアに問題があった場合でも、他のコンポーネントへの影響を最小限に抑えることができます。このような分離は、セキュリティ上のベストプラクティスであり、攻撃者からシステムを保護するために必要です。ゼロトラストネットワークにおける認可決定は信頼性が求められるため、慎重に設計される必要があります。