Chapter 8:Trusting the Traffic

一覧に戻る

 本章は、ゼロトラストネットワークにおける通信の信頼性を確保するための方法について説明しています。具体的には、暗号化やセキュアな導入方法、セキュリティプロトコルの適用場所などが取り上げられています。また、従来のネットワークフィルタリングとの違いについても触れられています。ゼロトラストネットワークを構築する上で重要な知識が詰まった章となっています。

ゼロトラストネットワークにおける通信でのセキュアな導入法は、最初のパケット問題を解決するために使用されます。この問題は、通信相手が本当に誰であるかを確認することができないため、攻撃者が偽装して通信を行うことができるというものです。この問題を解決するために、単一パケット承認システムを使用して複雑な認証システム(例えばTLS)を隠すことが提案されています。単一パケット承認システムは比較的簡単なサービスであり、攻撃面積が小さいため攻撃者から守りやすくなります。

セキュリティプロトコルの適用について、ゼロトラストネットワークにおいては、通信の認証と承認に重要な役割を担っています。具体的には、IPsecやフィルタリングシステム(ソフトウェアファイアウォール)などが使用されます。IPsecでは、各アプリケーションごとに一意のセキュリティアソシエーション(SA)を使用することで、承認されたフローだけがセキュリティポリシーを構築できるようになります。また、IPsecにフィルタリングシステムを重ねることで、より高度なセキュリティを実現することができます。

従来のネットワークフィルタリングは、あらかじめ設定されたルールに基づいて、特定の通信を許可またはブロックすることができます。例えば、社内から外部への通信を制限するために、社内から外部への通信をすべてブロックするというルールを設定することができます。しかし、この方法では、一度許可された通信もその後悪意ある攻撃者によって悪用される可能性があります。 一方、ゼロトラストネットワークにおけるフィルタリングは、通信ごとに個別に承認される必要があります。つまり、通信相手が本当に誰であるかを確認し、その通信が本当に必要なものであるかどうかを判断してから承認する必要があります。これにより、不正なアクセスや攻撃を防止することができます。 簡単に言うと、従来のネットワークフィルタリングはあらかじめ設定されたルールに基づいて通信を制限する方法であり、ゼロトラストネットワークにおけるフィルタリングは、通信ごとに個別に承認される必要がある方法です。

一覧に戻る

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA