現代の企業は、ユーザー、デバイス、アプリケーションが広く分散された環境で運営されており、アクセス決定は、変化するリスク条件に絶えず適応する必要があります。 静的で特定の時点の認証では、資格情報の漏えいやデバイスの誤設定、ユーザーが引き起こすリスクなど進化する脅威に対して不十分です。
アダプティブアクセスは、常に評価されるコンテキストシグナルに基づいて動的なアクセス決定を可能にするアーキテクチャアプローチです。
- ユーザーのリスクスコア
- デバイスポスチャ
- 認証信頼度
- ネットワークとロケーション
- アプリケーションとリソースコンテキスト
- セッションの整合性
- 脅威のコンテキスト
Cato SASEプラットフォーム内では、適応型アクセス機能が複数のコントロールプレーンに実装され、PoPで強制されます。 適応アクセスは、アクセス方法の範囲にわたって適用され、該当Catoポリシーによってコンテキストベースの制御が一貫して強制されることを保証します。 これにより、静的な信頼仮定に頼ることなく、接続性、アプリケーションアクセス、およびネットワークトラフィックに対する一貫した、ID認識およびコンテキスト認識の施行が可能になります。
継続的な信号評価とポリシー施行を組み合わせることで、組織は不正使用されたユーザーやデバイスへの露出を減らし、最小特権アクセスを強制し、より高い確実性が必要な場合にステップアップ認証をトリガーすることができます。 同時に、管理者はユーザーのリスク、デバイスのコンプライアンス、セッション状況への可視性を得ることができ、情報に基づいた運用およびセキュリティ上の意思決定が可能になります。
組織は静的な信頼を継続的かつコンテキストに基づいた意思決定に置き換えるために、適応型アクセスを必要とします。 信頼条件はログイン後に変更される可能性があり、アクセス制御はこれらの変更に対応しなければなりません。
初期の認証とネットワーク位置は、資格情報の盗難、管理されていないエンドポイント、および急速に変化する脅威条件に対して不十分です。
Catoは4つの柱を通じた適応型アクセスを実装しています:
- 強力な信号による信頼の構築: 適応型アクセスは、最新で信頼性があり、継続的に更新される信号に依存しています。 これらの信号は、セッションの設定時およびライフサイクル全体を通じてポリシー決定の基盤を作成します。
- 信号の集約による統一信頼: 信号はPoPで相関され、現在のセッション状況を反映します。 アイデンティティ属性、ポスチャ結果、行動指標は各要求ごとに一緒に評価されます。
- コントロールプレーン全体での信頼による施行: ポリシーは接続性、アプリケーションアクセス、ネットワークトラフィックに対してPoPでインラインで施行されます。 同じコンテキストがクライアント接続、ZTNA、ファイアウォールの意思決定に一貫して適用されます。
- 分析と応答のための信頼可視性: Cato管理アプリケーション(CMA)は、ポリシー決定とその背後にある信号に対する集中化された可視性を提供します。 単一の管理コンソールにより、管理者はセッションを調査し、結果を検証し、コントロールプレーン全体で一貫したポリシー変更を適用することができます。
このアプローチにより、静的な信頼の仮定に依存することなく、ゼロトラストに整合した継続的かつリスクを考慮した施行が可能になります。
Catoプラットフォームの適応型アクセス機能は、ユーザー、デバイス、またはセッション条件が変化するとアクセス決定が変更される必要があるシナリオをサポートします。
-
リスクベースのプライベートアプリケーションへのアクセス: ユーザーセッションおよびデバイスの現在の状況に基づいて内部アプリケーションへのアクセスを制御します。
- 例: デバイスがポスチャチェックを通過し、ユーザーのリスクスコアが許容範囲内にある場合に、ユーザーが内部HRアプリケーションへのアクセスを許可されます。 同じユーザーは、セッション中盤でリスクスコアが増加した場合、そのアプリケーションからブロックされる可能性があります。 たとえば、マルウェアをダウンロードしたり、既知の指令制御ドメインに接続したりする場合です。
-
デバイス対応の接続制御: 準拠かつ安全なデバイスのみがCatoクラウドに接続を確立できるようにします。
- 例: 必要なエンドポイントプロテクションエージェントがインストールされた管理された企業ノートパソコンは、Catoクラウドへの接続が許可されます。 エンドポイントプロテクションが最新バージョンを実行していない場合、同じデバイスはブロックされる可能性があります。
-
センシティブアクセスのためのステップアップ認証: ユーザーがセンシティブなリソースにアクセスする場合や、セッションの保証が不十分な場合に、再認証を要求します。
- 例: ユーザーが既存のセッションで標準的な内部リソースを閲覧することが許されます。 ユーザーがセンシティブなファイナンスアプリケーションを開こうとすると、ポリシーが再認証を要求することがあります。
-
ユーザーのための制御されたリモートアクセス: どのユーザーがリモート接続を許可されるかを定義し、他のユーザーにはオフィスベースのアクセスのみを制限します。
- 例: 承認されたユーザーグループに属する従業員は、Catoクライアントを通じてプライベートアプリケーションへのリモートアクセスを許可されます。 オフィス専用のアクセスに制限されているユーザーは、リモート接続を試みるとブロックされます。
-
管理者のための運用可視性: ユーザーセッションおよびアクセス決定についての可視性を提供し、トラブルシューティングとポリシーの確認をサポートします。
- 例: 管理者は、CMAでユーザーの活動とイベントを確認することで、ユーザーが許可された、ブロックされた、またはチャレンジされた理由をレビューすることができます。 たとえば、ユーザーディレクトリページでは、ユーザーをリスクレベル(高や重大など)でフィルタリングし、調査が必要なユーザーをすばやく特定できます。
適応型アクセス決定は、ユーザー、デバイス、およびセッションの現在の状態を示すコンテキスト信号に基づいています。 これらの信号は継続的に評価され、CMAポリシーによってアクセス許可、制限、またはチャレンジされるかどうかが決定されます。
-
ユーザーリスクスコア: ユーザーセッションの現在のセキュリティリスクを表します。 このスコアは、振る舞い活動やセキュリティ検出に基づいて継続的に更新され、以下を含みます:
- 既に侵害されているシステムの指標
- 感染につながる可能性があるブロックされた試行の指標
- コンプロマイズにつながる可能性があるポリシー違反またはリスク活動
-
デバイスポスチャ: エンドポイントのセキュリティ状態を表します。 CMAでは、ポスチャはデバイスポスチャープロファイルとデバイスチェックを使用して定義されます。 Catoクライアントは、アクセスの前後にデバイスにこれらのチェックを施行し、生成されるポスチャ状態はデバイスコンプライアンスを要求する複数のポリシーで参照されます。
- デバイスチェックは、エンドポイント上の特定の条件(例えば、エンドポイントプロテクション状態、OSバージョン、証明書、または構成)を評価します。
- デバイスポスチャプロファイルは、1つ以上のチェックをグループ化し、必要なセキュリティベースラインを表す再利用可能なプロファイルを作成します。
- 外部MDMコンプライアンス: Microsoft Intuneなどの外部システムからの信号でデバイスポスチャを拡張します。 これらの信号は、デバイスが暗号化やパッチレベルなどの組織のポリシーに準拠しているかどうかを示します。
- 認証信頼度: ユーザーの認証トークンの新鮮さと有効性を表します。 これはCatoトークンから派生し、セッションが必要な認証保証レベルをまだ満たしているかどうかを示します。
これらの信号はPoPで評価され、ポリシーエンジンに提供され、セッションライフサイクル全体で継続的でリスクを考慮したアクセス決定を可能にします。
適応型アクセスの施行はCato PoPで行われ、アイデンティティ、デバイス、セッション信号がセッションの確立と継続的な活動中に評価されます。
- ユーザー認証とセッション確立: ユーザーは最寄りのCato PoPに接続し、認証要求が構成済みのアイデンティティプロバイダ(IdP)に転送されます。 認証が成功した後、PoPはセッションを確立し、ユーザーのアイデンティティとグループ属性を取得します。
- 初回ポリシー評価: セッションが確立されると、PoPは設定されたポリシーに対して関連するコンテキスト信号を評価します。 これにより、ユーザーセッションの初期アクセス決定が確立され、ユーザーが接続を許可されるかどうかが決定されます。
- アプリケーションへのアクセス: ユーザーがアプリケーションにアクセスしようとした場合、PoPはそのリクエストの関連ポリシー条件を評価します。
- ステップアップ認証: ポリシーがより強力な認証を要求する場合、PoPはユーザーを構成済みのIdPにリダイレクトします。 再認証が成功した後、セッションは要求された保証レベルで継続します。
- 継続的な施行: アクセスが許可された後もPoPはセッション条件を評価し続けます。 リスクが増大したり、ポスチャが失敗したり、認証保証が不十分になった場合、ポリシーはアクセスをブロックするかユーザーに再度認証を要求することがあります。
Catoプラットフォームの適応型アクセスは、接続性、アプリケーションアクセス、およびネットワークトラフィックにわたってアクセス決定を強制する複数のCMAポリシーを通じて実装されています。 各ポリシーはコンテキスト信号を評価し、ユーザーセッションの異なる段階で制御を適用します。
クライアント接続ポリシーは、ユーザーデバイスがCatoクラウドに接続を確立することを許可されるかを制御します。 このポリシーは接続時にゼロトラストの原則を施行し、デバイスとセッションを検証してからアクセスが許可されます。
管理者はこのポリシーを使用して、管理されていないまたは準拠していないデバイスの接続を防ぎ、セッションが確立される前に認証要件を施行します。
Catoプライベートアクセスにより、ネットワークをユーザーに拡張することなく、プライベートアプリケーションに対する安全なアイデンティティベースのアクセスを提供できます。 従来のVPNのように直接ネットワークレベルの接続を許可する代わりに、ユーザーのアイデンティティとコンテキストに基づいて、最小特権のアプリケーション固有のアクセスを施行します。
プライベートアクセス ポリシーはプライベートアプリケーションへのアクセスを制御し、ユーザーが使用する特定のプライベートアプリケーションへの最小特権アクセスを施行します。
常時オンポリシーにより、管理者は、ユーザーとデバイスがCatoクラウドに常時接続している必要があるかを定義し、そのためにトラフィックが常にセキュリティポリシーによって検査され制御されるようにします。 これは、異なるユーザー集団に対してストレージ接続要件をサポートするための詳細なポリシーです。 たとえば、従業員や管理されているデバイスは接続を保持し続けることが要求され、一方で請負業者や管理されていないデバイスには、必要に応じた接続や直接インターネットアクセスが許可されます。
常時接続が整合性施行をリスクおよび信頼と整合させることを可能にします。 高信頼または高リスクのシナリオは継続的な検査を必要とすることがありますが、低リスクのシナリオでは、全体的なセキュリティポスチャを損なわずに、より柔軟な接続が許可されることがあります。
以下の表は、前のセクションで説明した各Catoポリシーがサポートしているコンテキスト信号を要約しています。 各行はポリシーを表し、各列はコンテキスト信号を表します。 この表は、Catoプラットフォーム全体で適応型アクセス信号が適用される場所のクイックリファレンスを提供します。
0件のコメント
サインインしてコメントを残してください。