紹介
安全なリモートアクセスは、暗号化された接続と暗号化されていない接続の間の選択肢ではなくなりました。現代のVPNとゼロトラストリモートアクセスソリューションの両方が、転送中のデータを保護できます。より重要な質問は、認証後にユーザーまたはデバイスが何にアクセスできるかです。
VPNはしばしばリモートエンドポイントへのネットワーク接続を拡張します。ゼロトラストネットワークアクセスはリソース中心のアプローチを取り、アクセスを許可する前にユーザー、デバイス、要求されたアプリケーション、および現在のコンテキストを評価します。多くの組織にとって、最良の設計は完全な置き換えではなく、アプリケーションアクセスと本物のネットワークアクセスの間の意図的な分割です。
VPNとは何ですか?
A 仮想プライベートネットワーク リモートデバイスとVPNゲートウェイの間に暗号化されたトンネルを作成し、接続を認証した後、承認されたトラフィックをプライベートネットワーク、サブネット、またはサービスにルーティングします。
VPNは無制限のアクセスを提供する必要はありませんが、その運用モデルはネットワーク指向のままです。管理者は適用できます:
- 多要素認証
- d デバイス証明書
- ファイアウォールルール
- ネットワークセグメンテーション
- エー アクセス制御リスト
しかし、エンドポイントは通常、1つ以上の内部リソースへのIPレベルのパスを受け取ります。
このモデルは確立されており、幅広いプロトコルをサポートしているため、管理者が広範なインフラストラクチャアクセスを必要とする場合や、アプリケーションが内部アドレッシングに依存している場合、または2つのサイトが安全にトラフィックを交換する必要がある場合に役立ちます。
主なリスクは、VPNの権限がユーザーが実際に必要とするものを超えて拡張されるときに発生します。たとえば、1つの会計アプリケーションのみが必要なリモート従業員は、全体の財務サブネットへのアクセスを必要としないかもしれません。
ゼロトラストリモートアクセス(ZTNA)とは何ですか?
一般的な使用法では、ゼロトラストリモートアクセスは通常、ゼロトラストネットワークアクセス(ZTNA)を指します。ZTNAは適用されます。 ゼロトラスト原則 特定のアプリケーション、デスクトップ、またはサービスへのアクセスを許可することによって、一般的なネットワークアクセスを拡張するのではなく、リモート接続を実現します。
決定は複数の信号を考慮することができます:
- ユーザーの識別と役割
- デバイスの所有権とセキュリティ姿勢
- 要求されたリソース
- アクセスの場所と時間
- 認証の強度
- セッションリスクまたは異常な動作
NISTは説明しています ゼロトラスト ネットワークの場所に基づく暗黙の信頼を排除し、明示的な認証と承認を通じて個々のリソースを保護するアーキテクチャとして。ZTNAはその原則を適用する一つの方法であり、全体のゼロトラストアーキテクチャではありません。
リクエストが承認されると、ユーザーは承認されたリソースへの制御されたパスを受け取ります。未承認のシステムは、エンドポイントから可視化またはルーティングされる必要はありません。ポリシーは、リスクが変化したときに再認証、アクセス制限、またはセッションの終了をトリガーすることもあります。
ゼロトラストリモートアクセスとVPNの主な違い
ZTNAとVPNの違いは、単に技術的なものではなく、アーキテクチャに関するものです。適切にセグメント化されたVPNは非常に制限的である一方、適切に管理されていないZTNAの展開は依然として過剰なアクセスを許可する可能性があります。
| 基準 | VPN | ゼロトラストリモートアクセスまたはZTNA |
|---|---|---|
| アクセスターゲット | ネットワーク、サブネットまたはサービス範囲 | 特定のアプリケーション、デスクトップまたはサービス |
| 主要ポリシーの文脈 | ルート、IPアドレス、グループおよびファイアウォールルール | アイデンティティ、デバイス、リソース、およびコンテキスト信号 |
| ネットワークの可視性 | 内部サービスは接続後にアクセス可能になる場合があります。 | 承認されていないリソースは発見されないまま残る可能性があります |
| ユーザーフロー | トンネルを確立し、リソースを開きます | 承認されたリソースを直接リクエストまたは起動します |
| 最適なフィット | ネットワークレベル、レガシーおよびサイト間アクセス | ユーザーと第三者のためのアプリケーションレベルのアクセス |
| 主な運用上のトレードオフ | 親しみやすいが、広範でゲートウェイが多くなる可能性がある | 粒度が細かいが、アプリケーションとアイデンティティのマッピングが必要です。 |
セキュリティモデル
従来のVPNは、トンネルが確立される際に主な信頼決定を行います。現代のプラットフォームは、条件付きアクセス、エンドポイントチェック、再認証を用いてその決定を強化できますが、セッションは依然としてユーザーにネットワーク接続を拡張することから始まります。
ZTNAは、よりリソースに焦点を当てたアプローチを取ります。有効なパスワードと第二の要素は、すべての内部システムへのアクセスを自動的に提供するわけではありません。なぜなら、ポリシーは管理されたデバイス、承認された場所、特定のユーザーロール、または要求されたアプリケーションを利用可能にする前に低リスクのセッションを必要とする場合があるからです。
この狭いアクセスモデルは最小特権をサポートし、資格情報が盗まれた場合に公開されるシステムの数を制限できます。ただし、ZTNAはアカウント侵害リスクを排除するものではなく、攻撃者は侵害されたアカウントが開くことを許可されているアプリケーションを悪用する可能性があります。
ユーザーエクスペリエンス
VPNユーザーは、クライアントを開き、トンネルが接続されるのを待ち、認証プロンプトを完了し、必要なアプリケーションを起動する必要があります。DNSの競合、スプリットトンネリングルール、不安定なローカルネットワーク、または期限切れのクライアント設定が問題を引き起こすと、その結果、追加のサポートリクエストが発生する可能性があります。
ZTNAは、ポータル、ブラウザ、または軽量クライアントを通じて承認されたリソースのみを提示することで、このプロセスを簡素化できます。ユーザーは、最初に一般的なネットワークアクセスを受けるのではなく、必要なアプリケーションを直接起動できます。
経験は実装に依存するため、一部のプロトコルはエンドポイントエージェントを必要とし、一部のレガシーアプリケーションはアプリケーションプロキシを介してうまく機能しません。したがって、移行する前にITチームはテストを行うべきです。
- 認証
- 印刷
- ファイル転送
- · クリップボードコントロール
- 再接続動作
ネットワーク露出
VPNゲートウェイはインターネットに接続されたエッジサービスであるため、パッチを適用し、監視し、保護する必要があります。ルート、セグメンテーション、およびファイアウォールポリシーに応じて、接続されたユーザーは内部アドレスやサービスを発見できる場合もあります。
ZTNAは、ユーザーとアプリケーションの間にブローカーまたは強制ポイントを配置することで、この露出を減らすことができます。これにより、エンドポイントは周囲のネットワークへの一般的なルートを作成することなく、承認されたリソースにアクセスできます。
この設計は横移動をより困難にする可能性がありますが、コネクタ、アイデンティティプロバイダー、ゲートウェイ、およびアプリケーションサーバーは依然として保護する必要があります。 CISAのガイダンス リモートアクセスソフトウェアとエッジデバイスを、MFA、パッチ適用、ログ記録、露出の削減を必要とする高価値のインフラとして扱います。
パフォーマンス
VPNデザインは、リモートユーザーが本社を通じてクラウドホストされたアプリケーションに接続する際に、遅延を追加する可能性がある中央ゲートウェイまたはデータセンターを介してトラフィックをバックホールすることがよくあります。
ZTNAは、特にコネクタやサービスポイントがユーザーやワークロードの近くに分散されている場合、認可されたアプリケーションへのより直接的なパスを提供する可能性があります。それでも、パフォーマンスは依然として次の要因に依存します:
- 検査要件
- プロバイダーアーキテクチャ
- コネクタの配置
- インターネットの品質
VPNは、内部データセンターのワークロードやローカルコンセントレーターのある環境で効率的に機能し続けることができます。常に1つのモデルが速いと仮定するのではなく、ITチームは自分たちの環境でアプリケーションの応答時間とセッションの安定性を比較するべきです。
管理
ネットワークチームはすでにVPN集中装置、ルート、ファイアウォールルール、アクセス制御リストに精通しており、これにより展開が容易になる場合があります。しかし、時間が経つにつれて、グループ、サブネット、例外が蓄積されるため、権限のレビューが難しくなることがあります。
ZTNAは、ユーザー、アプリケーション、デバイス要件、および依存関係の明確なインベントリを必要とします。管理者は、各リソースが必要な人、使用できるデバイス、およびアクセスが許可される条件を定義する必要があります。このポリシーの作業には努力が必要ですが、権限がビジネスアプリケーションに直接マッピングされるため、アクセスレビューがより意義のあるものになります。
どのモデルが使用されても、効果的な管理は各リソースにオーナーを割り当て、例外を文書化し、特権を定期的に見直すことに依存します。VPNもZTNAも、一貫した運用の規律がなければ安全ではありません。
費用
VPNは、組織がすでに互換性のあるファイアウォールやゲートウェイインフラを所有している場合、より安価なオプションとなる可能性があります。ただし、全体のコストにはまだ以下が含まれる場合があります:
- 集中装置の容量
- 高可用性
- クライアントサポート
- 帯域幅
- セグメンテーション作業
- 進行中のルールの維持
ZTNAは、ユーザーごとのサブスクリプション、アイデンティティ統合、エンドポイントエージェント、コネクタ、および移行作業を導入する可能性があります。同時に、VPNバックホールを削減し、契約者のアクセスを簡素化し、広範なネットワーク接続をサポートするコストを削減できます。
この理由から、比較は初期製品価格だけでなく、総所有コストに焦点を当てるべきです。ITチームは、ライセンス、インフラストラクチャ、ヘルプデスクの労力、ポリシー管理、ダウンタイムリスク、およびユーザーが実際に必要とする以上のアクセスを付与するコストを考慮する必要があります。
VPNはいつでも意味がありますか?
リソース特化型アクセスモデルへの移行が進んでいるにもかかわらず、ユーザーやシステムが本当にネットワークレベルの接続を必要とする場合、VPNは依然として適切な選択です。
特に、要件が複数のプロトコル、共有インフラストラクチャ、または内部ネットワークへの直接アクセスに依存するアプリケーションを含む場合に便利です。
一般的な例には次のようなものがあります:
- オフィス、データセンター、またはクラウドネットワーク間のサイト間接続
- ネットワークトラブルシューティングとパケットレベル管理
- 制御されたインフラストラクチャセグメント全体での複数のプロトコルへのアクセス
- アプリケーションゲートウェイを通じて公開できないレガシーアプリケーション
- 広範な接続を必要とする開発、ラボまたは災害復旧環境
- T セグメンテーションとモニタリングがすでに成熟している環境での一時的なアクセス
VPNはしたがって、時代遅れでも本質的に安全でないわけでもありません。そのセキュリティは、接続がどれだけ注意深く構成され、管理されるかに依存します。これには、制限されたルート、強力な認証、定期的なゲートウェイのパッチ適用、標準ユーザーと特権管理者の明確な分離が含まれます。
これらの制御が整っており、ビジネスニーズが本当にネットワーク指向である場合、VPNは効果的で実用的なリモートアクセスソリューションとして残ることができます。
ゼロトラストはいつより良い選択ですか?
ZTNAは、ユーザーが広範なネットワークではなく、定義されたアプリケーションのセットへのアクセスを必要とする場合、通常はより強力な選択肢です。これにより、アクセス要件が正確に説明できるリモート従業員、契約者、パートナー、外部サポートチームに特に適しています。
例えば、ゼロトラストポリシーは、財務グループのメンバーが承認された時間内に会計アプリケーションにアクセスできるようにするかもしれませんが、その際には管理されたデバイスと多要素認証を使用する必要があります。この種のルールは、財務サブネットへのアクセスを許可する広範な権限よりもレビューが容易です。
ZTNAは、アプリケーションがもはや単一のオフィスの境界の背後に位置していない分散型およびクラウド指向の環境にも適しています。アクセスの決定の中心にアイデンティティとリソースポリシーを置くことで、このモデルは物理的なネットワークの境界ではなく、ワークロードに従います。
妥協点はありますか?
はい。すべてのワークフローを単一のテクノロジーに強制するのではなく、多くの組織はZTNAとVPNを一緒に使用できます。
標準の従業員と契約者は、ZTNAまたは安全なアプリケーションポータルを通じてアプリケーションレベルのアクセスを受けることができますが、ネットワーク管理者はIPレベルの接続を必要とするタスクのために厳密に制御されたVPNまたは特権アクセスゲートウェイを保持します。支店はサイト間VPNを引き続き使用でき、レガシーアプリケーションは近代化されるまで制限されたVPNルートに留まることができます。 より狭く公開された .
段階的な移行は通常、突然の置き換えよりも安全です。ITチームはリモートワークフローを考案し、アプリケーションレベルの要件をネットワークレベルのニーズから分離し、アイデンティティ管理を強化し、1つの制御されたアプリケーションを試行し、新しいアクセスパスを検証した後にのみ対応するVPNルートを削除できます。
TSplusはどのようにこの状況に適合しますか?
TSplus Advanced Security Windowsサーバーとリモートアクセス環境を保護します。VPNを置き換えたり、完全なゼロトラストネットワークアクセスプラットフォームとして機能するのではなく、どちらのアクセスモデルも強化できるサーバーレベルのコントロールを追加します。
これらのコントロールは、ユーザー、デバイス、場所、接続時間に基づく制限を追加しながら、VPNの背後にあるWindowsサーバーを保護できます。これらは、より広範なセキュリティアーキテクチャの一部として、いくつかのゼロトラスト原則をサポートしています。
ブルートフォースおよび悪意のあるIP保護
インターネット向け認証サービスは、パスワード推測攻撃や自動ネットワークスキャンの頻繁な標的となります。当社のソリューションは、失敗したWindowsログイン試行を監視し、設定された閾値に達した場合に発信元IPアドレスを自動的にブラックリストに登録できます。
ハッカーIP保護は、マルウェア、ボットネット、オンライン攻撃、その他の悪意のある活動に関連するアドレスの維持されたリストでこの防御を強化します。管理者は、ファイアウォールルールを通じて許可されたアドレスとブロックされたアドレスを管理することもでき、露出したWindowsサービスに到達する前に不要なトラフィックを止めるのに役立ちます。
地理的および文脈的アクセス制限
地理的保護により、管理者は発信国またはIPアドレスに基づいてアクセスを制御できます。管理者は、承認された国、プライベートアドレス、および特にホワイトリストに登録されたIP範囲への接続を制限でき、これは正当なユーザーが予測可能な場所から接続する際に便利です。
Working Hoursは、ユーザーとグループのための時間ベースの制御を追加し、管理者がセッションを開くことができる時間を定義し、予想される勤務時間外のアカウントの利用可能性を減少させることを可能にします。Trusted Devicesは、接続方法がデバイス識別をサポートしている場合に、承認されたエンドポイントへの接続をさらに制限することができます。
これらのチェックは、ゼロトラスト戦略で使用される文脈制御に似ています。ただし、場所、時間、デバイス情報は、接続が信頼できるという決定的な証拠ではなく、サポート信号として残るべきです。
詳細な権限とセキュアなセッション
私たちのソリューションには、ユーザーおよびグループの権限をレビューおよび管理するためのアクセス制御が含まれています。管理者は、保護されたWindowsサーバー上のファイル、フォルダー、レジストリオブジェクト、およびプリンターへのアクセスを制限できます。
セキュアセッションは、特定のユーザーやグループに異なるセキュリティレベルを適用できます。これらの機能により、認証後に接続されたアカウントがアクセスまたは変更できる内容が制限されます。
このサーバーレベルの最小特権アプローチは、侵害されたアカウントの影響を制限することができます。ただし、これは通常、ネットワーク接続を確立する前に個々のアプリケーションやサービスへのアクセスを仲介するZTNAポリシーエンジンと同等ではありません。
ランサムウェア保護
私たちのソリューションは、ランサムウェアに関連する行動のためにサーバーの活動を監視します。静的指標と行動分析を組み合わせて、疑わしいファイル活動を検出し、潜在的なランサムウェアが特定されたときに対応します。
この保護は、リモートユーザーが共有ドキュメントを開いたり、サーバーのストレージに書き込んだりできる場合に特に重要です。有効なアカウントが悪意のあるソフトウェアを実行するために悪用される可能性があるため、接続を保護するだけでは不十分です。
ランサムウェア保護は、したがって、テスト済みのオフラインバックアップ、パッチ管理、エンドポイント保護、およびインシデント対応手順を置き換えるのではなく、補完するべきです。
ファイアウォールコントロール、イベントとアラート
TSplus Advanced Security Windows Firewallまたはその統合ファイアウォールを通じてブロックルールを強制できます。管理者は敵対的なアドレスをブロックし、ホワイトリストを維持し、Advanced Securityインターフェースからネットワーク制限を確認できます。
ダッシュボードは最近のセキュリティイベントも表示し、設定可能なアラートは、選択されたイベントが発生した際に管理者にメール、SMS、またはMicrosoft Teamsで通知することができます。これらの機能は、ブロックされた接続や調査が必要なその他の活動に対する可視性を提供します。
監視はVPNおよびゼロトラスト環境の両方で不可欠です。予防的なコントロールはリスクを軽減できますが、ITチームはアラートを引き続きレビューし、異常な行動を調査し、アクセス要件が変化するにつれてポリシーを洗練させる必要があります。
結論
ゼロトラストリモートアクセスとVPNの主な違いは、信頼の範囲とタイミングです。VPNは通常、ユーザーまたはデバイスを認証した後に暗号化されたネットワークパスを作成します。ZTNAは、アイデンティティ、デバイス、およびコンテキスト条件を評価した後に特定のリソースへのアクセスを許可します。
VPNは、サイト間接続、ネットワーク管理、レガシープロトコル、およびIPレベルの接続を必要とするワークロードに適しています。ZTNAは、特定のアプリケーションやサービスのみを必要とする従業員、契約者、パートナーに一般的により適しています。
多くの組織は、2つのアプローチを組み合わせることで利益を得るでしょう。アプリケーションレベルのアクセスはZTNAに移行できる一方で、制限されたVPN接続は、実際にネットワークアクセスを必要とするワークフローのために利用可能です。どちらのモデルが選ばれても、強力な認証、最小特権、セグメンテーション、サーバーの強化、継続的な監視は必要です。