IPsecトンネルのためのPQCとは何ですか？

注意

注: この機能の有効化と使用に関する詳細情報はfeature-releases@catonetworks.comまでお問い合わせください。

概要

ポスト量子暗号(PQC)は、量子耐性キー交換メカニズムを導入することでIPsecトンネルのセキュリティを強化します。量子コンピューティングの能力が進化するにつれて、RSAや楕円曲線暗号(ECC)のような広く使用されているアルゴリズムが、最終的には脆弱になる可能性があります。 PQCは現在および将来の暗号化の脅威に対して、サイト間WANトラフィックを保護するのに役立ちます。

IPsecサイトとトンネル用にPQCを有効化することで、組織の暗号化戦略を長期的なセキュリティおよびコンプライアンスの要件に一致させることができ、Catoクラウドへのサイト接続を変更することなく実現します。

今すぐ収集して後で解読する攻撃に対する保護

量子コンピューティングに関連する主なリスクの1つは、「今すぐ収集して後で解読する」モデルです。このシナリオでは、攻撃者は現在暗号化されたトラフィックを取得して保存し、量子能力が成熟して古典的な暗号化を破るまで待機します。

たとえ現在トラフィックを解読できなくても、長期間保持価値がある機密情報が将来露出する可能性があります。 PQCは、量子耐性キー交換アルゴリズムをIPsecネゴシエーションプロセスに組み込むことで、このリスクを軽減します。その結果、今日捕らえられたトラフィックは、将来の量子解読試行に対しても保護され続けます。

運用とセキュリティの考慮事項

長期データ保護

多くの組織が、サイト、データセンター、およびクラウド環境間で機密トラフィックを輸送するために、長寿命のIPsecトンネルに依存しています。このトラフィックには、数年または数十年にわたって機密性を保持する必要がある規制対象または業務上重要なデータが含まれていることがよくあります。 PQCを有効化することで、暗号化強度が長期的なデータ保護戦略と新しいセキュリティ標準に整合するようにすることができます。

ハイブリッドIKEv2ネゴシエーションモデル

IPsecトンネルのためのPQCは、ハイブリッドファーストIKEv2ネゴシエーションアプローチを使用して実装されています。トンネルの確立時には、古典的暗号技術とPQCアルゴリズムが一緒に交渉されます。この設計は、まだPQCをサポートしていないピアとの相互運用性を維持し、必要な場合は制御されたフォールバックメカニズムによって接続性を維持します。

このアプローチにより、既存のサイト間接続を中断することなく、またすべてのピアで同時にアップグレードする必要なく、量子耐性暗号技術を導入できます。

可視性と移行管理

PQCサポートには、トンネルネゴシエーションの動作に関する洞察を提供するテレメトリが含まれています。ネゴシエーションの結果を監視し、フォールバックシナリオを特定し、量子安全なネゴシエーションが成功したことを検証できます。この可視性は、どのピアがPQCに対応しているかを判断し、移行プロセスを制御され測定可能な方法で管理するのに役立ちます。

CMAでの集中管理

PQC設定は、IKEv2およびIPsecトンネル設定に直接統合され、関連するAPIおよびAccountSnapshotフィールドを通じて公開されます。これにより、Cato管理画面(CMA)で暗号化設定を集中管理できます。 PQCの採用は、追加の運用上の複雑さを導入しません。設定モデルは、既存のIPsec管理プロセスと一貫性があります。

PQCを有効化するタイミング

重大なインフラストラクチャを運営し、規制された環境を管理しているか、長期的な保持要件を持つ機密データを輸送している場合、IPsecトンネル用のPQCの有効化を検討すべきです。

PQCは、先進的に新しい暗号標準に整合し、量子時代を迎えるためにネットワークアーキテクチャを準備している場合にも関連があります。