知財求人 - 知財ポータルサイト「IP Force」
特表2024-538844通信システムへのリモートアクセスのための装置及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-10-23
(54)【発明の名称】通信システムへのリモートアクセスのための装置及び方法
(51)【国際特許分類】
H04L 12/46 20060101AFI20241016BHJP
H04L 12/66 20060101ALI20241016BHJP
G06F 21/44 20130101ALI20241016BHJP
【FI】
H04L12/46 E
H04L12/66
G06F21/44
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2024539904
(86)(22)【出願日】2022-09-14
(85)【翻訳文提出日】2024-04-02
(86)【国際出願番号】 CA2022051372
(87)【国際公開番号】W WO2023039669
(87)【国際公開日】2023-03-23
(31)【優先権主張番号】63/261,192
(32)【優先日】2021-09-14
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
2.Linux
3.RASPBERRY PI
(71)【出願人】
【識別番号】524097218
【氏名又は名称】ビーワイオーエス インコーポレイティド
(74)【代理人】
【識別番号】100099759
【弁理士】
【氏名又は名称】青木 篤
(74)【代理人】
【識別番号】100123582
【弁理士】
【氏名又は名称】三橋 真二
(74)【代理人】
【識別番号】100092624
【弁理士】
【氏名又は名称】鶴田 準一
(74)【代理人】
【識別番号】100114018
【弁理士】
【氏名又は名称】南山 知広
(74)【代理人】
【識別番号】100153729
【弁理士】
【氏名又は名称】森本 有一
(72)【発明者】
【氏名】マティアス カッツ
(72)【発明者】
【氏名】クリスティアン アミチェッリ
(72)【発明者】
【氏名】クリストバル デル ピノ
(72)【発明者】
【氏名】ライアン バンカー
【テーマコード(参考)】
5K030
5K033
【Fターム(参考)】
5K030GA15
5K030HC14
5K030HD01
5K030HD02
5K030HD06
5K033AA08
5K033CB06
5K033CB08
(57)【要約】
一態様によれば、プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスに対するプライベートネットワークの外にある管理コンソールからのアクセスを条件付きで可能とする方法が提供される。セキュアエッジデバイスはマイクロセグメント内のすべてのエンドポイントデバイスを発見し、どのエンドポイントデバイスが接続可能なデバイスであるかを特定する。セキュアロビーノードは、すべてのエンドポイントデバイスを特定してどのエンドポイントデバイスが接続可能なデバイスであるかを特定する情報を管理コンソールへ伝達する。したがって、管理コンソールのユーザは、どんなエンドポイントデバイスがマイクロセグメント内にあって、どのエンドポイントデバイスが接続可能なデバイスであるかを容易に知ることができて、その結果、ユーザは、接続可能なデバイスのうちの1つ又は複数を選択してリモートで接続することができる。とりわけ、セキュアロビーノードとセキュアエッジデバイスは、管理コンソールとマイクロセグメントの接続可能なデバイスの何れかとの間で1ホップトラフィックを可能とする。
【特許請求の範囲】
【請求項1】
プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスに対する前記プライベートネットワークの外にある管理コンソールからのアクセスを条件付きで可能とする方法であって、前記マイクロセグメントは、前記マイクロセグメントの前記エンドポイントデバイスと前記マイクロセグメントの外側のデバイスの間のトラフィックを制限する、セキュアエッジデバイスを有し、前記セキュアエッジデバイスにより、前記プライベートネットワークの外にあるセキュアロビーノードとのエッジ接続を確立することと、
前記セキュアエッジデバイスにより、前記マイクロセグメント内のすべての前記エンドポイントデバイスを発見することと、
前記セキュアエッジデバイスにより、前記エンドポイントデバイスのどれが接続可能なデバイスであるかを特定し、前記接続可能なデバイスのそれぞれに対してルート接続を確立することと、
前記セキュアエッジデバイスにより、すべての前記エンドポイントデバイスを特定して前記エンドポイントデバイスのどれが接続可能なデバイスであるかを特定する情報を前記セキュアロビーノードへ送信することと、
前記セキュアロビーノードにより、前記管理コンソールとのコンソール接続を確立することと、
前記セキュアロビーノードにより、すべての前記エンドポイントデバイスを特定して前記エンドポイントデバイスのどれが接続可能なデバイスであるかを特定する前記情報を前記管理コンソールへ伝達することと、
前記セキュアロビーノードと前記セキュアエッジデバイスにより、前記管理コンソールと前記マイクロセグメントの前記接続可能なデバイスの何れかとの間で、前記コンソール接続、前記エッジ接続、前記接続可能なデバイスに対する前記ルート接続を含む、セキュア接続を介した1ホップトラフィックを可能とすることと、
を含む方法。
【請求項2】
前記セキュアエッジデバイスにより、前記接続可能なデバイスのそれぞれに対してどんなサービスが許可されているかを特定することと、前記セキュアエッジデバイスにより、前記接続可能なデバイスのそれぞれに対してどんなサービスが許可されているかを特定する情報を前記セキュアロビーノードへ伝達することと、
前記セキュアロビーノードにより、前記接続可能なデバイスのそれぞれに対してどんなサービスが許可されているかを特定する前記情報を前記管理コンソールへ伝達することと、
を含む、請求項1に記載の方法。
【請求項3】
前記セキュアエッジデバイスにより、トランスポートレイヤ許可リストを維持し、前記接続可能なデバイスのそれぞれに対してどんなサービスが許可されているかの特定は前記トランスポートレイヤ許可リストに基づく、維持すること、を含む、請求項2に記載の方法。
【請求項4】
前記セキュアエッジデバイスにより、前記管理コンソールからの入力に応答して前記トランスポートレイヤ許可リストを更新すること、をさらに含む、請求項3に記載の方法。
【請求項5】
前記セキュアエッジデバイスにより、セッションレイヤ許可リストを維持し、前記エンドポイントデバイスのどれが接続可能なデバイスであるかの特定は前記セッションレイヤ許可リストに基づく、維持すること、をさらに含む、請求項1から3の何れか一項に記載の方法。
【請求項6】
前記セッションレイヤ許可リストは、前記プライベートネットワーク内のゾーンとユーザが前記ゾーンへアクセスすることへの許可を規定する、請求項5に記載の方法。
【請求項7】
前記セキュアエッジデバイスにより、前記管理コンソールからの入力に応答して前記セッションレイヤ許可リストを更新すること、をさらに含む、請求項5又は6に記載の方法。
【請求項8】
前記マイクロセグメントへアクセスする許可に関して前記管理コンソールの認証を試みること、をさらに含み、
前記管理コンソールと前記エンドポイントデバイスの間の前記セキュア接続は、前記管理コンソールが認証された場合のみに確立される、
請求項1から7の何れか一項に記載の方法。
【請求項9】
前記認証を試みることは、前記セキュアロビーノードにより、前記管理コンソールが有効な構成ファイルを持っているかを確認すること、
を含む、請求項8に記載の方法。
【請求項10】
前記管理コンソールと前記エンドポイントデバイスの間の前記セキュア接続は、前記管理コンソールがネットワーク間で切替を行ったとしてもオープンのままにできるレイヤ4 VPN(仮想プライベートネットワーク)接続である、請求項1から9の何れか一項に記載の方法。
【請求項11】
前記レイヤ4 VPN接続はRSA(Rivest-Shamir-Adleman)暗号化接続である、請求項10に記載の方法。
【請求項12】
前記RSA暗号化接続は4096ビットの鍵長を有する、請求項11に記載の方法。
【請求項13】
通信システムのプロセッサにより実行された場合に、請求項1から12の何れか一項に記載の方法を実行する命令文及び命令が記録された、非一時的コンピュータ可読媒体。
【請求項14】
請求項1から12の何れか一項に記載の方法を実行するよう構成されている通信システムにおいて使用する、セキュアロビーノードと少なくとも1つのセキュアエッジデバイスの組み合わせ。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願
本特許出願は、2021年9月14日に出願された米国仮特許出願第63/261,192号明細書に対する優先権を主張し、当該出願の開示の全体は参照により援用される。
本特許出願は、2021年9月14日に出願された米国仮特許出願第63/261,192号明細書に対する優先権を主張し、当該出願の開示の全体は参照により援用される。
【0002】
本開示は通信システムに関し、より詳細には通信システムへのリモートアクセスに関する。
【背景技術】
【0003】
従来のリモートアクセスツールは境界の開放を引き起こしうるが、これは、企業ネットワーク全体が不必要に露出されるリスクをもたらす。
【0004】
静的パブリックIPは、パブリックであるため、誰にでも見つけられる。静的パブリックIPはインバウンド接続を許可し、ネットワークを露出させる。正しく保護されていない場合は、他のデバイスへアクセスされることもありうる。静的パブリックIPは攻撃を受けやすく、エラーを起こす余地がある。
【0005】
接続するためのVPN(仮想プライベートネットワーク)トンネルによりインバウンド接続が許可され、これは、維持するためのVPNサーバが存在して、インバウンド接続が許可されることを意味する。任意のユーザ/デバイスへの正常なVPN接続では、通常は4つの項目、つまりユーザ名、パスワード、証明書、そして構成ファイルがVPN接続を確立するのに利用され、これはVPN鍵管理処理としても知られる。これらの「鍵」は、VPN接続が適切に動作して保護されることを保証するために作成、共有、デプロイ、管理、循環、そして破壊されうる。鍵管理は、数百や数千のエンドポイントデバイス及びユーザの規模では、扱いにくく非効率になる。たとえば、パスワードが循環されていることの確認、及びサーバが最新の状態で正しく設定されていることを保証する必要がある人がいるかもしれない。これには継続的なIT活動が必要となることがあり、他の障害点がもたらされる可能性もある。さらに、VPNはデフォルトで本質的にオープンで、幅広く、安全ではない。VPNは点Aと点Bを双方向に接続し、すべてのトラフィックが両方向へ進むのを許可する。
【発明の概要】
【発明が解決しようとする課題】
【0006】
リモートアクセス通信に対する、こうしたより伝統的な手法に関連する運用上のオーバーヘッド及びセキュリティリスクを軽減又は除去することを目的とする。
【課題を解決するための手段】
【0007】
一態様によれば、プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスに対するプライベートネットワークの外にある管理コンソールからのアクセスを条件付きで可能とする方法が提供される。マイクロセグメントは、マイクロセグメントのエンドポイントデバイスとマイクロセグメントの外側のデバイスの間のトラフィックを制限する、セキュアエッジデバイスを有する。
【0008】
方法は、セキュアエッジデバイスがプライベートネットワークの外にあるセキュアロビーノードとのエッジ接続を確立することを含む。また、方法は、セキュアエッジデバイスがマイクロセグメント内のすべてのエンドポイントデバイスを発見し、エンドポイントデバイスのどれが接続可能なデバイスであるかを特定し、接続可能なデバイスのそれぞれに対してルート接続を確立することも含む。また、方法は、すべてのエンドポイントデバイスを特定してエンドポイントデバイスのどれが接続可能なデバイスであるかを特定するためにセキュアエッジデバイスがセキュアロビーノードに情報を送信することも含む。
【0009】
管理コンソールとセキュアロビーノードの間でコンソール接続が確立されると、セキュアロビーノードは、すべてのエンドポイントデバイスを特定してエンドポイントデバイスのどれが接続可能なデバイスであるかを特定する情報を管理コンソールへ伝達する。したがって、管理コンソールのユーザは、どんなエンドポイントデバイスがマイクロセグメント内にあって、どのエンドポイントデバイスが接続可能なデバイスであるかを容易に知ることができて、その結果、ユーザは、接続可能なデバイスのうちの1つ又は複数を選択してリモートで接続することができる。
【0010】
とりわけ、セキュアロビーノードとセキュアエッジデバイスは、管理コンソールとマイクロセグメントの接続可能なデバイスの何れかとの間で、コンソール接続、エッジ接続、接続可能なデバイスに対するルート接続を含む、セキュア接続を介した1ホップトラフィックを可能とする。このようにして、ユーザはその場にいる必要なしに、プライベートネットワーク内で接続可能なデバイスへアクセスすることができる。それどころか、接続可能なデバイスはセキュアエッジデバイスにより確立されたマイクロセグメントにより保護されているにも関わらず、ユーザはプライベートネットワークから離れたままで、接続可能なデバイスへそれでもアクセスすることができる。
【0011】
一部の実装では、セキュアエッジデバイスは、接続可能なデバイスのそれぞれに対してどんなサービスが許可されているかを特定して接続可能なデバイスのそれぞれに対してどんなサービスが許可されているかを特定する情報をセキュアロビーノードへ送信する。そして、セキュアロビーノードは、接続可能なデバイスのそれぞれに対してどんなサービスが許可されているかを特定する情報を管理コンソールへ伝達することができる。その結果、管理コンソールのユーザは、どんなサービスを接続可能なデバイスに対して実行できるかを容易に知ることができる。他のサービスは制限されたままとすることができる。
【0012】
別の態様によれば、通信システムのプロセッサにより実行された場合に、上記に要約された方法を実行する命令文及び命令が記録された、非一時的コンピュータ可読媒体が提供される。
【0013】
別の態様によれば、上記に要約された方法を実行するよう構成されている通信システムにおいて使用する、セキュアロビーノードと少なくとも1つのセキュアエッジデバイスの組み合わせが提供される。
【0014】
本開示の他の態様及び特徴は、本開示の様々な実施形態の以下の説明を見直すことで、当業者には明らかとなるであろう。
【図面の簡単な説明】
【0015】
これより実施形態について添付の図面を参照して説明する。
【図1A】プライベートネットワーク内のマイクロセグメントとプライベートネットワークの外にあるセキュアロビーノードを特徴とする、例示の通信システムのブロック図である。
【図1B】プライベートネットワーク内の複数のマイクロセグメントとプライベートネットワークの外にあるセキュアロビーノードを特徴とする、別の例示の通信システムのブロック図である。
【図1C】マイクロセグメントの例示のセキュアエッジデバイスのブロック図である。
【図1D】例示のセキュアロビーノードのブロック図である。
【図2】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスに対するプライベートネットワークの外にある管理コンソールからのアクセスを条件付きで可能とする例示の方法のフローチャートである。
【図3】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUI(グラフィカルユーザインタフェース)のスクリーンショットである。
【図4】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図5】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図6】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図7】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図8】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図9】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図10】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図11】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図12】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図13】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図14】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図15】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【図16】プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットである。
【発明を実施するための形態】
【0016】
最初に、本開示の1つ又は複数の実施形態の例示の実装が以下で提供されるが、開示されるシステム及び/又は方法は、現在知られている、又は存在しているかに関わらず、任意の数の手法を用いて実現しうることを理解されたい。本開示は、本明細書で図示及び説明される好ましい設計及び実装を含む、以下に示される例示の実装、図面、及び手法には決して限定されるべきではなく、添付の請求項の範囲内でその均等物のすべての範囲と共に変更されうる。
【0017】
導入
まず図1Aを参照すると、プライベートネットワーク130内のマイクロセグメント150とプライベートネットワーク130の外にあるセキュアロビーノード120を特徴とする、例示の通信システムのブロック図が示されている。マイクロセグメント150は、マイクロセグメント150のエンドポイントデバイス181~183とマイクロセグメント150の外側のデバイスの間のトラフィックを制限する、セキュアエッジデバイス140を有する。したがって、エンドポイントデバイス181~183は、ネットワークの他の部分160や、さらにはインターネットにはアクセスできない。セキュアエッジデバイス140は、マイクロセグメント150の内側のエンドポイントデバイス181~183とセキュアロビーノード120に接続された管理者のコンピュータ110の間のトラフィックのみを許可する。
まず図1Aを参照すると、プライベートネットワーク130内のマイクロセグメント150とプライベートネットワーク130の外にあるセキュアロビーノード120を特徴とする、例示の通信システムのブロック図が示されている。マイクロセグメント150は、マイクロセグメント150のエンドポイントデバイス181~183とマイクロセグメント150の外側のデバイスの間のトラフィックを制限する、セキュアエッジデバイス140を有する。したがって、エンドポイントデバイス181~183は、ネットワークの他の部分160や、さらにはインターネットにはアクセスできない。セキュアエッジデバイス140は、マイクロセグメント150の内側のエンドポイントデバイス181~183とセキュアロビーノード120に接続された管理者のコンピュータ110の間のトラフィックのみを許可する。
【0018】
3つのエンドポイントデバイス181~183を有する1つのマイクロセグメント150だけが示されているが、各マイクロセグメントの中に様々な数のエンドポイントデバイスを有するいくつかのマイクロセグメントが存在しうることに留意されたい。通信システムは他の構成要素を持ちうるが、簡潔とするために示されていない。
【0019】
プライベートネットワーク130内のマイクロセグメント150のエンドポイントデバイス181~183に対するプライベートネットワーク130の外にある管理コンソール110からのアクセスを条件付きで可能とする例示の方法のフローチャートである図2を参照し、通信システムの動作について以下で説明する。図2の方法は図1Aの通信システムを参照して記述されているが、図2の方法は他の通信システムへ適用可能であることを理解されたい。概して、図2の方法は、任意の適切に構成された通信システムへ適用可能である。
【0020】
ステップ201で、セキュアエッジデバイス140はプライベートネットワーク130の外にあるセキュアロビーノード120とのエッジ接続171を確立する。ステップ202で、セキュアエッジデバイス140はマイクロセグメント150内のすべてのエンドポイントデバイス181~183を発見する。次に、ステップ203で、セキュアエッジデバイス140は、エンドポイントデバイス181~183のどれが接続可能なデバイス181~182であるかを特定し、接続可能なデバイス181~182のそれぞれに対するルート接続172を確立する。典型的には、接続可能なデバイス181~182はエンドポイントデバイス181~183のサブセット(たとえば、最初の2つのエンドポイントデバイス181~182が接続可能であり、第3のエンドポイントデバイス183は接続可能ではない)であるが、すべてのエンドポイントデバイス181~183が接続可能である可能性もある。ステップ204で、セキュアエッジデバイス140は、すべてのエンドポイントデバイス181~183を特定してエンドポイントデバイス181~183のどれが接続可能なデバイス181~182であるかを特定するために、セキュアロビーノード120に情報を送信する。
【0021】
一部の実装では、ステップ205で示されるように、セキュアロビーノード120はマイクロセグメント150へアクセスする許可に関して管理コンソール110の認証を試みる。一部の実装では、管理コンソール110とセキュアロビーノード120の間のセキュア接続は、管理コンソール110が認証された場合のみに確立される。セキュア接続には、管理コンソール110とセキュアロビーノード120の間のコンソール接続173、エッジ接続171、及び接続可能なデバイス181~182に対するルート接続172が含まれる。したがって、コンソール接続173は、管理コンソール110を認証した場合のみに、ステップ206で確立される可能性がある。
【0022】
マイクロセグメント150へアクセスする許可に関してセキュアロビーノード120が管理コンソール110を認証することのできる方法はたくさん存在する。一部の実装では、管理コンソール110のユーザは、ユーザを認証するのにセキュアロビーノード120により使用される構成ファイルを含むeメールを提供される。特に、セキュアロビーノード120は、管理コンソール110が有効な構成ファイルを持っているかを確認するであろう。一部の実装では、セキュアロビーノード120への接続は、管理コンソール110へアクセスできる各管理者に固有のプライベートOpenVPN構成により容易になる。一部の実装では、ある人がセキュアロビーに入ることのできる唯一の方法は、その人がこの構成ファイルを持っていてセキュアロビーノード120に接続されているかどうかである。一部の実装では、構成ファイルは、eメール以外の他の手段によりOpenVPN用にダウンロードされる。他の実装は可能である。
【0023】
ステップ207で管理コンソール110が認証され、コンソール接続173が確立されて管理コンソール110とセキュアロビーノード120の間のセキュア接続が完了すると、セキュアロビーノード120は、すべてのエンドポイントデバイス181~183を特定してエンドポイントデバイス181~183のどれが接続可能なデバイス181~182であるかを特定する情報を管理コンソール110へ伝達する。管理コンソール110がセキュアロビーノード120により提供されるセキュアロビーへアクセスしている間に、この情報は管理コンソール110へ提供される。したがって、管理コンソール110のユーザは、どんなエンドポイントデバイス181~183がマイクロセグメント150内にあって、エンドポイントデバイス181~183のどれが接続可能なデバイス181~182であるかを容易に知ることができて、その結果、ユーザは、接続可能なデバイス181~182のうちの1つ又は複数を選択してリモートで接続することができる。
【0024】
ステップ208で、セキュアロビーノード120とセキュアエッジデバイス140は、管理コンソール110とマイクロセグメント150の接続可能なデバイス181~182の何れかとの間で、コンソール接続173、エッジ接続171、接続可能なデバイス181~182に対するルート接続172を含む、セキュア接続を介した1ホップトラフィックを可能とする。このようにして、ユーザはその場にいる必要なしに、プライベートネットワーク130内で接続可能なデバイス181~182へアクセスすることができる。それどころか、ユーザはプライベートネットワーク130から離れたままで、セキュアエッジデバイス140により確立されたマイクロセグメント150により保護されているにも関わらず、それでも接続可能なデバイス181~182へアクセスすることができる。
【0025】
一部の実装では、セキュアエッジデバイス140は、接続可能なデバイス181~182のそれぞれに対してどんなサービスが許可されているかを特定して接続可能なデバイス181~182のそれぞれに対してどんなサービスが許可されているかを特定する情報をセキュアロビーノード120へ送信する。そして、セキュアロビーノード120は、接続可能なデバイス181~182のそれぞれに対してどんなサービスが許可されているかを特定する情報を管理コンソール110へ伝達することができる。その結果、管理コンソール110のユーザは、どんなサービスを接続可能なデバイス181~182に対して実行できるかを容易に知ることができる。他のサービスは制限されたままとすることができる。
【0026】
一部の実装では、セキュアエッジデバイス140はトランスポートレイヤ許可リストを維持し、このリストはセキュアエッジデバイス140により、接続可能なデバイス181~182のそれぞれに対してどんなサービスが許可されているかを特定するのに使用される。一部の実装では、トランスポートレイヤ許可リストは、管理コンソール110からの入力に応答してセキュアエッジデバイス140により更新することができる。このようにして、ユーザは、トランスポートレイヤ(すなわち、レイヤ4)上でのサービスを有効化又は無効化するよう変更を行うことができる。
【0027】
一部の実装では、セキュアエッジデバイス140はセッションレイヤ許可リストを維持し、このリストはセキュアエッジデバイス140により、エンドポイントデバイス181~183のどれが接続可能なデバイス181~182であるかを特定するために使用される。一部の実装では、セッションレイヤ許可リストは、プライベートネットワーク130内のゾーンとユーザがそれらのゾーンへアクセスすることへの許可を規定する。ゾーンはオーバーレイであり、概してネットワークアーキテクチャとは無関係である。一部の実装では、セッションレイヤ許可リストは、管理コンソール110からの入力に応答してセキュアエッジデバイス140により更新することができる。このようにして、ユーザは、エンドポイントデバイス181~183がセッションレイヤ(すなわち、レイヤ3)上で接続可能であることを有効化又は無効化するよう変更を行うことができる。
【0028】
一部の実装では、ゾーンはネットワーク内で最も上位のアーキテクチャ上の「単位」である。ネットワークは、ゾーン>グループ>エッジ>アセット>エンドポイントという単位階層にわたって分割することができる。ゾーンは、トラフィックのネットワーク内での移動をどのように、誰が、何を、どこで許可するかを制御するものである。一部の実装では、管理者は、異なるゾーンの作成に対してIPアドレスセグメント10.X.0.0./16を設定することができる。一部の実装では、グループはゾーンの内側に配置される。一部の実装では、スーパー管理者が管理者、グループ、及びゲストに対してゾーンへのロール(役割)ベースのアクセス制御を許可する。ゾーン管理に対して設定可能な規則に関する例示の詳細は、後ほど提供される。
【0029】
トランスポートレイヤ許可リスト及びセッションレイヤ許可リストにより、エンドユーザによる操作又は制御ができない方法で、レイヤ3及び4での透明なアクセス制御が可能となる。開示される実施形態ではオーバーレイネットワークが作成されて、オーバーレイネットワークへのトラフィック及びオーバーレイネットワークからのトラフィックは上記によりフィルターすることができて、これに加えてオーバーレイネットワークの外側へのトラフィック及びオーバーレイネットワークの外側からのトラフィックをエンドポイントが不可視のままで遮断をすることもできる。オーバーレイネットワークは、概して物理的ネットワークから独立している。
【0030】
一部の実装では、管理コンソール110と接続可能なデバイス181~182の間のセキュア接続は、管理コンソール110がネットワーク間で切替を行ったとしてもオープンのままにできるレイヤ4 VPN(仮想プライベートネットワーク)接続である。一部の実装では、レイヤ4 VPN接続はRSA(Rivest-Shamir-Adleman)暗号化接続である。特定の実装では、RSA暗号化接続は4096ビットの鍵長を有する。
【0031】
上述したように、従来のVPNはデフォルトで本質的にオープンで、幅広く、安全ではない。VPNは点Aと点Bを双方向に接続し、すべてのトラフィックが両方向へ進むのを許可する。しかし、開示される実施形態では、双方向性は排除され、幅広いアクセスは許可されず、リモートネットワークの内側での横方向への移動は許可されず、どんな場所にあるデバイスに対しても構成ファイルを送信する必要なしに管理者側(クラウドコンソール)からのレイヤ3及び4での粒度の細かいアクセス制御が許可される。これは、従来のVPNに対してかなりの改善である。
【0032】
一部の実装では、管理者は管理コンソール110からの2つの条件が満たされた場合のみにマイクロセグメント内のエンドポイントデバイス181~182へアクセスすることができる。
1.セキュアエッジデバイス140が自身のマイクロセグメント探索機能を実行し、エンドポイントデバイス181~183が見つかってセキュアロビーに加えられている。
2.セキュアロビーへの接続が開始され、マイクロセグメントがプライベートIPアドレスを与えられて、このIPアドレスがOpenVPN構成ファイルにより与えられるプライベートIPアドレスと一致する。
1.セキュアエッジデバイス140が自身のマイクロセグメント探索機能を実行し、エンドポイントデバイス181~183が見つかってセキュアロビーに加えられている。
2.セキュアロビーへの接続が開始され、マイクロセグメントがプライベートIPアドレスを与えられて、このIPアドレスがOpenVPN構成ファイルにより与えられるプライベートIPアドレスと一致する。
【0033】
そうでなければ、セキュアエッジデバイスが許可しない限りはマイクロセグメントの内側のエンドポイントデバイスには誰も話しかけることはできない。一部の実装では、中に入る唯一の方法は、セキュアエッジデバイスが外部と接続している場合に誰かが管理コンソールへログインして、セキュアロビーを用いてリモート接続を開始するための認証情報を有していることである。一部の実装では、セキュアロビーの内側のエンドポイントデバイスは互いに話すことはできず、これは、それらのエンドポイントデバイスはマイクロセグメンテーション化されていて、通信することができないからである。
【0034】
一部の実装では、セキュアロビーノード120により、セキュアエッジデバイス140により作成された保護されたマイクロセグメント150の内側のエンドポイントデバイス181~183へのゼロトラストリモートアクセスが可能となり、以下のような利点を得られる:
・セキュアなリモートでの監視、更新、パッチ適用、及び問題解決
・エンドポイントデバイス181~183へのサードパーティのアクセスに対する強化された制御
・ネットワークやエンドポイントが露出されないことによる、横方向への感染のリスクの削減
・保守のための現地への移動の削減による、運用費用の削減。
・セキュアなリモートでの監視、更新、パッチ適用、及び問題解決
・エンドポイントデバイス181~183へのサードパーティのアクセスに対する強化された制御
・ネットワークやエンドポイントが露出されないことによる、横方向への感染のリスクの削減
・保守のための現地への移動の削減による、運用費用の削減。
【0035】
運用上の利点の例:マイクロセグメントの内側のエンドポイントデバイスに対してなすべき行動(重要なパッチ、警報の解決、ファームウェアの更新)がある場合、顧客は問題をトリアージするためにその場に移動する必要はないため、発生した任意の問題を解決する時間がより早くなることを意味しうる。顧客はリモートでログインを行い、行動を起こして、ログアウトして、更なる予定された積極的な保守/サービスモデルへ移行することができる。
【0036】
セキュリティ上の利点の例:ソリューションは非常に古い制御装置技術(したがって典型的には安全ではない)に最新のセキュリティのレイヤを加え、顧客だけがこれらの制御装置へアクセスすることができるようにする。これは、通常はパブリックな静的IP及びVPNを含んだ以前のリモートで接続する方法に対する大幅な改善であり、その理由は、ネットワーク全体がインターネット又はサードパーティである請負業者のコンピュータからアクセス可能となる可能性を削減するからである。現地のIT関係者が煩わされる時間が少ないほど、通信はよりセキュアになり、それゆえ、顧客のサイバーセキュリティインシデントのリスクはより低くなる。
【0037】
一部の実装では、エンドユーザはセキュアロビーへアクセスすることも、ローカルのセキュアエッジダッシュボードから探索スキャンを実行することもできない。一部の実装では、ローカルのセキュアエッジダッシュボードはセキュアロビーへアクセスすることも、探索スキャンを実行することもできない。一部の実装では、セキュアロビー及びセキュアロビーの機能へアクセスする唯一の方法は、管理コンソールからである。一部の実装では、セキュアロビーオーバーレイの外側のトラフィックは許可されないが、その理由は、これが侵害があった後にラテラルムーブメント(横方向移動)を利用して対象攻撃領域を広げるための原則的な方法だからである。
【0038】
エンドポイントデバイス181~183には多くのものがなりうる。特定の実装では、エンドポイントデバイス181~183は以下を含みうる:
・RDP(リモートデスクトッププロトコル)対応のWindowsノートパソコン(ポート3389)
・Raspberry Pi上のSSH(セキュアシェル)対応のLinux(ポート22)
・ウェブ対応IPカメラ(ポート80)
これらの特定のエンドポイントデバイスを用いた詳細な例は後ほど提供される。しかし、エンドポイントデバイス181~183には多くのものがなりうることを理解されたい。他のなりうるものにはPLC(プログラマブル論理制御装置)デバイスが含まれる。一部の実装では、複数のエンドポイントデバイス181~183の場合は、複数のエンドポイントデバイス181~183をセキュアエッジデバイス140へ接続するためのスイッチ(示されていない)が提供されうる。
・RDP(リモートデスクトッププロトコル)対応のWindowsノートパソコン(ポート3389)
・Raspberry Pi上のSSH(セキュアシェル)対応のLinux(ポート22)
・ウェブ対応IPカメラ(ポート80)
これらの特定のエンドポイントデバイスを用いた詳細な例は後ほど提供される。しかし、エンドポイントデバイス181~183には多くのものがなりうることを理解されたい。他のなりうるものにはPLC(プログラマブル論理制御装置)デバイスが含まれる。一部の実装では、複数のエンドポイントデバイス181~183の場合は、複数のエンドポイントデバイス181~183をセキュアエッジデバイス140へ接続するためのスイッチ(示されていない)が提供されうる。
【0039】
ここで図1Bを参照すると、プライベートネットワーク131内の複数のマイクロセグメント151~153とプライベートネットワーク131の外にあるセキュアロビーノード120を特徴とする、別の例示の通信システムのブロック図が示されている。マイクロセグメント151~153は、様々な数のエンドポイントデバイスを有する。示される例では、第1マイクロセグメント151は1つのエンドポイントデバイス184を有し、第2マイクロセグメント152は1つのエンドポイントデバイス185を有し、第3マイクロセグメント153は2つのエンドポイントデバイス186~187を有する。他の構成は可能であり、本開示の範囲内である。
【0040】
図1Aに対して上述したのと同様に、エッジ接続171a~171cをセキュアエッジデバイス141~143とセキュアロビーノード120の間で確立することができる。一部の実装では、セキュアエッジデバイス141~143のそれぞれが、LANを通じての互いとの接続ではなく、セキュアロビーノード120とのエッジ接続を介して暗号化されたセキュアロビートンネルを作成する。一部の実装では、すべてのトラフィックが、何れかのセキュアエッジデバイス141~143に達する前にセキュアロビーノード120を介して一元的に送られる。また、マイクロセグメント151~153のそれぞれの中では、図1Aに対して上述したのと同様に、ルート接続172を接続可能なデバイス184~187に対して確立することができる。たとえば、第3マイクロセグメント153の中では、示されるようにルート接続172を接続可能なデバイス186~187に対して確立することができる。また、プライベートネットワーク131はマイクロセグメント151~153とは独立した他のデバイス161~163も有しうる。これらの他のデバイス161~163は、図1Aに対して上述したのと同様に、マイクロセグメント151~153のいずれとも接続することはできない。
【0041】
上述されたセキュアエッジデバイス140~143及びセキュアロビーノード120には多くのものがなりうる。ここで図1C及び図1Dを参照すると、例示のセキュアエッジデバイス140のブロック図(図1C)と、例示のセキュアロビーノード120のブロック図(図1D)が示されている。
【0042】
セキュアエッジデバイス140は、セキュアロビーノード120及びエンドポイントデバイスとの通信用のネットワークアダプタ112を有する。また、セキュアエッジデバイス140はアクセス回路114も有し、この回路はセキュアエッジデバイス140を動作させて図2に関連して上述した機能を実行する。一部の実装では、アクセス回路114は、コンピュータ可読媒体118に由来しうるソフトウェアを実行するプロセッサ116を含む。ただし、他の実装は可能であり、本開示の範囲内である。他の実装には、たとえば任意の適切に構成されたFPGA(フィールドプログラマブルゲートアレイ)、ASIC(特定用途向け集積回路)、及び/又はマイクロコントローラなどの、追加の、又は別のハードウェア構成要素が含まれうることに留意されたい。より一般的には、セキュアエッジデバイス140のアクセス回路114は、ハードウェア、ソフトウェア、及び/又はファームウェアの任意の適切な組み合わせで実現することができる。
【0043】
セキュアロビーノード120は、セキュアエッジデバイス及び管理コンソールとの通信用のネットワークアダプタ113を有する。また、セキュアロビーノード120はアクセス回路115も有し、この回路はセキュアロビーノード120を動作させて図2に関連して上述した機能を実行する。一部の実装では、アクセス回路115は、コンピュータ可読媒体119に由来しうるソフトウェアを実行するプロセッサ117を含む。ただし、他の実装は可能であり、本開示の範囲内である。他の実装には、たとえば任意の適切に構成されたFPGA、ASIC、及び/又はマイクロコントローラなどの、追加の、又は別のハードウェア構成要素が含まれうることに留意されたい。より一般的には、セキュアロビーノード120のアクセス回路115は、ハードウェア、ソフトウェア、及び/又はファームウェアの任意の適切な組み合わせで実現することができる。
【0044】
本開示の別の実施形態によれば、通信システムのプロセッサにより実行された場合に、本明細書に記載される方法を実行する命令文及び命令が記録された、非一時的コンピュータ可読媒体が提供される。プロセッサは、図1Cに示されるセキュアエッジデバイス140のプロセッサ116、図1Dに示されるセキュアロビーノード120のプロセッサ117、又は何らかの他のプロセッサとすることができる。非一時的コンピュータ可読媒体は、図1Cに示されるセキュアエッジデバイス140のコンピュータ可読媒体118、図1Dに示されるセキュアロビーノード120のコンピュータ可読媒体119、又は何らかの他の非一時的コンピュータ可読媒体することができる。非一時的コンピュータ可読媒体は、たとえば、SSD(ソリッドステートドライブ)、ハードディスクドライブ、CD(コンパクトディスク)、DVD(デジタルビデオディスク)BD(ブルーレイディスク)、USBメモリ、又はこれらの任意の適切な組み合わせが含まれうる。
【0045】
例示の動作&GUI
概要として、セキュアロビーノードは、ローカルネットワーク構成とは干渉しないように、企業ネットワーク境界の内側に由来するアウトバウンド接続を用いてデプロイされたセキュアエッジデバイスと管理コンソールの間にセキュア接続を作成する。
概要として、セキュアロビーノードは、ローカルネットワーク構成とは干渉しないように、企業ネットワーク境界の内側に由来するアウトバウンド接続を用いてデプロイされたセキュアエッジデバイスと管理コンソールの間にセキュア接続を作成する。
【0046】
まず、管理者は管理コンソールにおいてセキュアロビーに対する接続を開始する。管理コンソールからコマンドを受信したら、セキュアエッジデバイスは4096RSA暗号化された外向きの接続をセキュアロビーと確立する。この接続は企業ネットワークのファイアウォールの影響を受けず、主ネットワークの境界セキュリティを弱める必要もない。そして管理者は、自分のセキュアエッジデバイス又は管理コンソールにより提供されるゲストOpenVPNクライアントの何れかから、4096RSA暗号化された接続を用いて自分の管理コンソールをセキュアロビーへ接続する。
【0047】
ユーザがセキュアロビーの内側に入ったら、セキュアエッジデバイスは保護されたエンドポイントデバイスからのトラフィック、及び保護されたエンドポイントデバイスへのトラフィックを許可し、これによりユーザがマイクロセグメントの内側のエンドポイントデバイスと直接インタラクションを行うことが可能となる。このエンドポイントデバイスへのアクセスはレイヤ7でプロトコル非依存であり、(SSH、RDP、Virtual network computing、ファイル転送プロトコル、ハイパーテキスト転送プロトコル/ハイパーテキスト転送プロトコルセキュア、などのような)一般的なプロトコル、及び一般的ではない独自プロトコルのどちらも、エンドポイントへのアクセスに使用することが可能となる。それは、異なる場所の異なるネットワーク上にいるにも関わらず、あたかもユーザがエンドポイントデバイスから1ホップ離れているかのようである。
【0048】
典型的なVPNを用いた場合、アクセス制御はレイヤ3で管理され、エンドポイントデバイスはトンネルの内側、又はトンネルの外側のどちらかにある。セキュアロビーを用いた場合、管理者はセキュアロビーの内側でどのポート及びサービスがオープンされる/クローズされるかを制御するのにレイヤ4でのアクセス権及び制御を与えられる。これにより、粒度の細かいアクセス制御が可能になる。レイヤ4 VPNはネットワークレイヤの上に存在するので、ネットワーク非依存である。クライアントがネットワーク間の切替を行うどうかに関わらずセッションはオープンのままであり、ユーザとアプリケーションの両方に対する連続的な接続が維持される。
【0049】
ここで図3~図16を参照すると、プライベートネットワーク内のマイクロセグメントのエンドポイントデバイスへの条件付きのアクセスを容易にするために管理コンソールにより表示される、セキュアロビーノードにより有効化される例示のGUIのスクリーンショットが示されている。これらのスクリーンショットは非常に具体的であり、例示目的のためだけに提供されていることを理解されたい。他のGUIは可能であり、本開示の範囲内である。また、動作に伴う詳細は非常に具体的であり、例示目的のためだけに提供されていることを理解されたい。
【0050】
セキュアエッジデバイスのそれぞれは、接続されているすべてのエンドポイントデバイスの探索を実行することができる。管理コンソールにおいて、管理者は「素早くアクセス(Quick Access)」へ進んでセキュアエッジデバイスを選択し、「セキュアロビー(Secure Lobby)」をクリックする。管理者が図3で項目301として示される「探索を実行(Run Discovery)」をクリックすると、セキュアエッジデバイスはマイクロセグメントの内側のすべてのエンドポイントデバイスの探索スキャンを行う。
【0051】
探索スキャンが完了すると、管理コンソールは図4に示される、マイクロセグメントの内側に含まれるエンドポイントデバイスのリストを有する表を表示する。管理コンソールは、探索スキャンから以下を含む情報を表示できる:
・エンドポイント(Endpoint) - エンドポイントデバイスの名称。
・IPアドレス(IP Address) - セキュアロビーの内側のエンドポイントデバイスのローカルIPアドレス。
・MACアドレス(MAC Address) - エンドポイントデバイスのMACアドレス。
・ポートイン(Port IN) - トラフィックがエンドポイントデバイスへ入るポート。このポートは保存又は編集をクリックすることでカスタマイズできる。
・ポートアウト(Port OUT) - トラフィックがエンドポイントデバイスから出るポート
・サービス(Service) - そのポートを介して実行される通信プロトコル。
・ベンダ(Vendor) - エンドポイントデバイスを製造した相手先ブランド製品製造会社。
・説明(Description) - エンドポイントデバイスとポートの組み合わせが使用されるものの簡潔な説明。ポートは保存又は編集をクリックすることでカスタマイズできる。
・最終確認日(Last Seen) - エンドポイントデバイスがセキュアロビー内で最後にアクティブとなっていた日時。「現在(Now)」となっていれば、アクティブなエンドポイントデバイスのポートがセキュアロビー内で見えていることを示す。
・状態(Status) - 2つの状態アイコンがある:
グリーンシールド(緑の盾)アイコンは、エンドポイントデバイスがセキュアロビー内で見えていることを意味し、
ブルーリスト(青の一覧表)アイコンは、セキュアエッジデバイスがエンドポイントデバイスを発見したことを意味する。
・エンドポイント(Endpoint) - エンドポイントデバイスの名称。
・IPアドレス(IP Address) - セキュアロビーの内側のエンドポイントデバイスのローカルIPアドレス。
・MACアドレス(MAC Address) - エンドポイントデバイスのMACアドレス。
・ポートイン(Port IN) - トラフィックがエンドポイントデバイスへ入るポート。このポートは保存又は編集をクリックすることでカスタマイズできる。
・ポートアウト(Port OUT) - トラフィックがエンドポイントデバイスから出るポート
・サービス(Service) - そのポートを介して実行される通信プロトコル。
・ベンダ(Vendor) - エンドポイントデバイスを製造した相手先ブランド製品製造会社。
・説明(Description) - エンドポイントデバイスとポートの組み合わせが使用されるものの簡潔な説明。ポートは保存又は編集をクリックすることでカスタマイズできる。
・最終確認日(Last Seen) - エンドポイントデバイスがセキュアロビー内で最後にアクティブとなっていた日時。「現在(Now)」となっていれば、アクティブなエンドポイントデバイスのポートがセキュアロビー内で見えていることを示す。
・状態(Status) - 2つの状態アイコンがある:
グリーンシールド(緑の盾)アイコンは、エンドポイントデバイスがセキュアロビー内で見えていることを意味し、
ブルーリスト(青の一覧表)アイコンは、セキュアエッジデバイスがエンドポイントデバイスを発見したことを意味する。
【0052】
発見されたエンドポイントデバイスは接続可能なデバイスになることができるので、それらのエンドポイントデバイスをセキュアロビーへ追加することで、セキュアロビー内で他のユーザに見えるようになる。たとえば、第1行にあるエンドポイントデバイス「ssh-demo」は項目401でブルーリストアイコンが示されており、これは現在接続可能ではないことを意味する。しかし、管理者は項目402に示される「追加(Add)」をクリックすることができる。管理者はエンドポイントデバイスに説明(たとえば「SSH」)を与えて、どのポートイン(たとえば「22」)で通信を行うかを確定することができる。
【0053】
図5に示されるように、第1行のエンドポイントデバイス「ssh-demo」は、項目501に示されるグリーンシールドアイコンで示されるように、セキュアロビーへ接続している任意の管理者には見えるようになる。
【0054】
図6に示されるように、管理者は項目601に示される左ナビゲーションバーにあるトグルスイッチをクリックすることで、セキュアロビーをオン又はオフにすることができる。セキュアロビーがオフの場合、デバイスは完全に隔離されている。
【0055】
セキュアロビー接続が確立されたら、そのセキュアエッジのマイクロセグメントのプライベートIPアドレスが項目701に示されるウインドウ上部に表示されて、項目702に示される最終確認日の列に「現在(Now)」と示される。この時点で、マイクロセグメントのそのIPアドレスはセキュアロビー内で見えるエンドポイントデバイスの何れかへアクセスするのに用いることができる。
【0056】
以下に、RDP、SSH、及びセキュアロビーの内側ではウェブ接続を用いる別の例が提供される。この例では、セキュアエッジデバイスはスイッチに接続され、このスイッチの背後には3つのエンドポイントデバイスがある。
・RDP対応のWindowsノートパソコン(ポート3389)
・Raspberry Pi上のSSH対応のLinux(ポート22)
・ウェブ対応IPカメラ(ポート80)
探索スキャンを実行した後に、これらのエンドポイントデバイスをセキュアロビーへ追加して、トグルをクリックしてセキュアロビーをオンにすることで、項目802に示されるように3つのエンドポイントデバイスが見える。
・RDP対応のWindowsノートパソコン(ポート3389)
・Raspberry Pi上のSSH対応のLinux(ポート22)
・ウェブ対応IPカメラ(ポート80)
探索スキャンを実行した後に、これらのエンドポイントデバイスをセキュアロビーへ追加して、トグルをクリックしてセキュアロビーをオンにすることで、項目802に示されるように3つのエンドポイントデバイスが見える。
【0057】
マイクロセグメント内のこれらのエンドポイントデバイスのそれぞれへアクセスするのに、管理者はOpenVPNを用いて自分のコンピュータでセキュアロビーに接続することができる。図9の項目901に示されるように、管理者のコンピュータはいまは同じプライベートIP範囲(172.20.0.X)内にある。エンドポイントデバイスへアクセスする方法の詳細な例が以下で提供される。
【0058】
RDP対応のWindowsノートパソコン(ポート3389)へアクセスするには、管理者はリモートデスクトップアプリを開き、適切なマイクロセグメント172.20.122を選択して接続をクリックし、図10に示されるリモートPC用のログイン認証情報を入力すると、図11に示されるようにログインできる。
【0059】
Raspberry Pi上のSSH対応のLinux(ポート22)へアクセスするには、図12の項目1201に示されるように、管理者はターミナルを開いて、SSH経由でエンドポイントデバイスにログインすることができる。管理者がセキュアロビー内のエンドポイントデバイスの内側に入ると、管理者はエンドポイントデバイス上でコマンドを自由に実行することができる。図13の項目1301に示される単純なpingコマンドにより、エンドポイントデバイスはインターネットへアクセスできることが示される。
【0060】
ウェブ対応IPカメラ(ポート80)へアクセスするには、図14に示されるように、管理者はカメラのアプリを開いてセキュアロビーマイクロセグメントのIPアドレス(172.20.0.122)を入力することができる。ログインしたら、図15に示されるように、管理者はカメラのライブ映像をリモートで見ることができる。
【0061】
図16は、ゾーン管理に対してどのように規則を設定できるかを示す。一部の実装では、ゾーン管理に対して設定可能な規則は以下を含む:
・どんなゾーンが他のゾーンと通信できるか、
・どのグループが他のゾーンにいる他のグループと通信できるか、
・どの管理者及びゲストがどのゾーンへアクセスできるか。
・どんなゾーンが他のゾーンと通信できるか、
・どのグループが他のゾーンにいる他のグループと通信できるか、
・どの管理者及びゲストがどのゾーンへアクセスできるか。
【0062】
付録A-マイクロセグメンテーションとは何か?
ますます多くの組織が境界ベースのセキュリティモデルから境界のないアーキテクチャへ移行するにつれて、これまでのネットワークセキュリティ慣行ではもはや我々のネットワークを効果的に保護することはできない。ファイアウォールや広いセグメンテーション戦略により境界を防御する代わりに、どこでからでも勤務できる(work-from-anywhere)組織に適応し、ますます高度化する脅威から保護することを余儀なくされるセキュリティ専門家にとって、マイクロセグメンテーションがベストプラクティスとして浮上してきた。
ますます多くの組織が境界ベースのセキュリティモデルから境界のないアーキテクチャへ移行するにつれて、これまでのネットワークセキュリティ慣行ではもはや我々のネットワークを効果的に保護することはできない。ファイアウォールや広いセグメンテーション戦略により境界を防御する代わりに、どこでからでも勤務できる(work-from-anywhere)組織に適応し、ますます高度化する脅威から保護することを余儀なくされるセキュリティ専門家にとって、マイクロセグメンテーションがベストプラクティスとして浮上してきた。
【0063】
この章では、マイクロセグメンテーションがどういうものであってどのように機能するのかを検討し、エッジマイクロセグメンテーションがセキュリティ態勢を最新化する組織に具体的にどのように利益をもたらしうるのかについて説明する。
【0064】
概して、マイクロセグメンテーションは、組織のセキュリティ態勢を強化するためにネットワークを小さい、明確な保護されたゾーンに分割する手法である。この手法は、ネットワーク内の利用可能な攻撃対象領域を減らすことでリスクを低減し、セキュリティインシデントが発生した場合にラテラルムーブメント及び権限昇格を防ぐことでセキュリティインシデントの封じ込めと修復を容易にする。
【0065】
以前は、セキュリティアーキテクトは、ネットワークをより小さなサブネットに分割するためにネットワークセグメンテーション手法をしばしば用いていた。ネットワークセグメンテーションでは、各セグメントは独自のミニネットワークとして保護され、管理者はポリシーを作成して一つのセグメントから別のセグメントへトラフィックがどのように流れることができるかを規定する。すでに組織の境界内にあるユーザ、エンドポイントデバイス、及びネットワークトラフィックは自動的に信頼されるので、企業のシステムを外部の世界から保護することが優先事項になる。
【0066】
侵害がより頻繁になり、攻撃がより高度化するにつれて、ネットワークセグメンテーションとその構築の前提として想定された信頼の信頼性が低下している。向上した演算能力、より多様化及び無秩序化したデバイス群、並びに増加したネットワークトラフィックがネットワークセグメンテーション手法で問題となっている。侵害は組織内部から発生する可能性があるため、内部関係者の脅威は別の問題である。(いかなるソースからであっても)攻撃が企業ネットワークの境界に侵入してしまうと、任意の特定のネットワークセグメント全体へ横方向へと侵害が移動するのを阻止するのは困難である。多くの場合、攻撃者はサーバからサーバへ、エンドポイントデバイスからエンドポイントデバイスへ、又はアプリケーションからアプリケーションへと制約を受けずに移動することができる。
【0067】
これが、今日の第一線のネットワークアーキテクトやセキュリティ専門家が、自動的に信頼できるとみなされるネットワーク活動や通信は存在しないというゼロトラストモデルを支持する理由である。ネットワークセグメンテーションは、ゼロトラスト理念を達成するためにより粒度の細かい手法を取るマイクロセグメンテーションへと進化した。サブネットを隔離する代わりに、マイクロセグメンテーションでは単一のエンドポイントデバイスを隔離して、各デバイスの周りに小さな境界を作成して、そのデバイスを個別に保護する。
【0068】
マイクロセグメンテーションは様々な方法で適用可能であり、このガイドの残りの部分では主にエッジマイクロセグメンテーションに焦点を当てるが、ネットワークベース、ハイパーバイザベース、及びホストベースのマイクロセグメンテーションはこのセキュリティ概念の代替の実装である。
・ネットワークベースのマイクロセグメンテーションは、サブネット、VLAN、又は他の技術を利用してセグメントを作成する。そこからポリシーがIPコンストラクト又はACLを用いて構成及び適用されて、概して個々のホストではなくセグメントへ適用される。
・ハイパーバイザベースのマイクロセグメンテーションは、仮想化環境においてハイパーバイザにより作成されたオーバーレイネットワークを利用してマイクロセグメンテーションを実施する。ネットワークベースのマイクロセグメンテーションに類似しているが、主な違いは、ネットワークデバイスの代わりにハイパーバイザデバイスを用いて実現されることである。
・ホストベースのマイクロセグメンテーションは、エンドポイントデバイスにインストールされたエージェントを使用し、オペレーティングシステムに組み込まれたネイティブのファイアウォール機能を活用して、分散された粒度の細かいマイクロセグメンテーションを提供する。
・ネットワークベースのマイクロセグメンテーションは、サブネット、VLAN、又は他の技術を利用してセグメントを作成する。そこからポリシーがIPコンストラクト又はACLを用いて構成及び適用されて、概して個々のホストではなくセグメントへ適用される。
・ハイパーバイザベースのマイクロセグメンテーションは、仮想化環境においてハイパーバイザにより作成されたオーバーレイネットワークを利用してマイクロセグメンテーションを実施する。ネットワークベースのマイクロセグメンテーションに類似しているが、主な違いは、ネットワークデバイスの代わりにハイパーバイザデバイスを用いて実現されることである。
・ホストベースのマイクロセグメンテーションは、エンドポイントデバイスにインストールされたエージェントを使用し、オペレーティングシステムに組み込まれたネイティブのファイアウォール機能を活用して、分散された粒度の細かいマイクロセグメンテーションを提供する。
【0069】
エッジマイクロセグメンテーションは、ネットワークベースのマイクロセグメンテーションとホストベースのマイクロセグメンテーションを混合した変形であり、広いセグメントの代わりにネットワークセキュリティ技術が一つのエンドポイントデバイスの「エッジ」に適用されて、すべての入力トラフィック及び出力トラフィックをフィルター、監視、制御することができる。エージェントがエンドポイントデバイスのオペレーティングシステムに直接インストールされることはないが、エンドポイントデバイスは独自の保護されたマイクロセグメント内にある。コンピュータのオペレーティングシステムから独立した(つまりエージェントが存在しない)マイクロセグメンテーションを有する理由は、たいていの攻撃は一部のユーザの行動エラーにより引き起こされるオペレーティングシステムへの感染から始まるからである。攻撃者がキルチェーンで行う第2ステップは、オペレーティングシステム上で実行されているエージェントベースの保護を無効化、変更、回避することである。オペレーティングシステムから隔離されるということは、検出されることなくネットワーク上のデバイス間を横方向へ移動する攻撃者の力が阻止されることを意味する。攻撃者はネットワーク上のマイクロセグメンテーション化されたデバイスを見ることはできない。
【0070】
ネットワークの境界を保護するファイアウォールの背後では、エッジマイクロセグメンテーションがシステムの階層において隣り合って配置される傾向にある多数のエンドポイントデバイスを保護するのを支援する。ネットワークセキュリティの専門家は、ネットワークファイアウォールを越えて組織へ流入する南北方向のトラフィックを容易に監視することができるが、デバイス間を流れる東西方向のトラフィックはこれまであまり見えなかった。これらのエンドポイントデバイスを保護するために、エッジマイクロセグメンテーションは、南北方向及び東西方向のすべてのネットワークトラフィックのより完全な可視化を可能とする。
【0071】
完全に可視化と制御ができると、ネットワーク管理者は重要なデバイスを特定、隔離、保護することができて、各マイクロセグメントに出入りするトラフィックを管理するポリシーを設計することができる。ネットワークセグメンテーションはサブネットIPアドレスに基づくポリシーに依存するが、エッジマイクロセグメンテーションはマイクロセグメントの内側のエンドポイントデバイスの種類に直接割り当てることのできる粒度の細かいポリシーを可能とする。
【0072】
各エンドポイントデバイスを1つのセグメントとして扱うことで、エッジマイクロセグメンテーションはラテラルムーブメントの脅威を排除し、ネットワーク全体のセキュリティを強固に保つのを支援する。そうは言うものの、現代のエンタープライズアーキテクチャは、通常は静的なままではない。
【0073】
エッジマイクロセグメンテーションに基づくセキュリティアーキテクチャを実装することには、特に自分たちのレガシー技術を自分たちのセキュリティ態勢上の弱点であると認識している組織にとって、直接的な利益がある。
【0074】
たとえば、今年に入って、CISAが米国における主要な石油パイプラインへのランサムウェア(身代金要求ソフトによる)攻撃を調査した。施設がマイクロセグメンテーションセキュリティ慣行を実装していたら、攻撃はもっと早く検出されたか、完全に阻止された可能性がある。これらはネットワークマイクロセグメンテーションの重要な利益の一部である。
【0075】
多くの様々なパブリックネットワークやプライベートネットワークでデバイスが無秩序に広がっているのに組織が取り組んでいる中で、境界ベースの防御だけではもはや充分ではない。デバイスはエクスプロイト(脆弱性を突いた攻撃)、Wi-Fi攻撃、列挙、DDoS攻撃のようなネットワークベースの脅威にさらされている。エッジマイクロセグメンテーションは、個々のエンドポイントデバイスを保護し、管理者に脅威管理制御を与えて検出時にトラフィックの流れを制限することで、こうした攻撃ベクトルから守る。
【0076】
重要な機能を持つデバイス、産業用制御システム、医療機器のようなリスクの高いエンドポイントデバイスをリスクの低いセグメントから隔離することは、ネットワーク全体での権限昇格に対して保護する別のレイヤを追加してリスクを低減するのを支援する。また、この手法により、セキュリティ分析者はラテラルムーブメントを防ぐことができて、攻撃が不正アクセスされたエンドポイントデバイス間を飛び越えてシステム全体へ広がるのを阻止することもできる。粒度の細かいマイクロセグメントを導入することで、セキュリティチームの可視性が向上し、トラフィックをより容易に監視して、危険な侵害を効率的に特定して対応することが可能となる。
【0077】
大規模な様々なデバイス群全体にわたってセキュリティポリシーを管理することは、時間のかかる作業である。また、境界ベースのセキュリティポリシーは、ネットワークの境界内で発生する内部の攻撃や侵害のような問題には対処しない。エッジマイクロセグメンテーションはセキュリティチームにリアルタイムのプロビジョニング機能を与え、希望する粒度でポリシーを作成、適用することを可能とする。
【0078】
ポリシーの粒度、可視性及び制御を可能にすることで、エッジマイクロセグメンテーションは組織全体の脆弱性を低減し、セキュリティチームがあらゆるレベルであらゆる変更を通じてコンプライアンスを維持するよう支援する。エッジマイクロセグメンテーションは、セキュリティチームが異なるネットワークにわたって分散したデバイスすべてを統一されたネットワークセキュリティにより確実に保護することを可能とし、別々に保護されたエンドポイントデバイスが隔離されていることでセキュリティ監査及びインシデントの修復がより容易になる。
【0079】
企業が自分達のセキュリティアーキテクチャの最新化を目指す場合に、実装のし易さとデバイス群全体の互換性は適切なソリューションを選ぶ際の要素となるであろう。一方で、リモートワーク(及びパンデミック後の将来にも続く可能性が高い混成バージョン)はネットワークセキュリティに新しい課題を提示している。分散したチームがニューノーマル(新しい常態)に落ち着き、リモート及びローミングの従業員が在宅勤務を続けるにつれて、ネットワークセキュリティはますます差し迫った関心事となるであろう。
【0080】
開示された手法は、組織がネットワーク接続の管理に関連する固有のリスクから組織自身とその従業員を保護するのを支援することを目的とする。開示された手法により、組織のメンバーは、どこにいるか、どんなデバイスを使用しているかに関わらず、自信を持って任意のネットワークに安全に接続することができる。どうすればできるのか?セキュアエッジデバイスがマイクロセグメンテーションを使って個々のエンドポイントデバイスのそれぞれを保護する。
【0081】
上記の教示に照らして、本開示に対する多くの変更及び変形が可能である。それゆえ、添付の請求の範囲内で、本明細書に具体的に記載された以外の方法で本開示は実践しうることを理解されたい。
【図1A】
【図1B】
【図1C】
【図1D】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【国際調査報告】