Alibaba Cloud ゼロトラストの実践: 実稼働ネットワークにおける ID とネットワークのマイクロ分離

概要：

Forrester のアナリスト、ジョン・キンドウィッグ氏が 2010 年に「ゼロトラスト」という用語を提案して以来、デジタル経済とリモートワークの台頭により、ゼロトラストは徐々に概念から実装へと移行してきました。新世代のネットワーク アーキテクチャ概念として、その中心的な考え方は、すべての資産が身元すべてのアセット間のネットワーク接続は認証する認可。

ゼロ トラストは特定のセキュリティ製品ではなく、アクセス制御、ID 管理、バックグラウンド データなどを組み合わせてネットワーク リクエストを検証するセキュリティ管理概念またはセキュリティ管理方法であることを明確にする必要があります。 「決して信頼せず、どこでも検証する」を実現できる特定の技術的手段は、ゼロトラストの採用とみなすことができます。

中国最大のクラウド ベンダーである Alibaba Cloud は、多様な社内ビジネス構造、複雑なアクセス トラフィック、頻繁な ID 変更を抱えており、セキュリティ上大きな課題となっています。クラウド セキュリティ チームは、長年の探求を経て、ゼロトラストとクラウド ネイティブを組み合わせ、ID とマイクロ分離を組み合わせたソリューションを実装および実装して、大企業の本番ネットワークにおける分離の問題を解決しました。

ゼロトラストコアを理解する: 5 つの前提条件

ゼロトラストの定義は通常、次の 5 つの前提に基づいています。

• インターネットは常に危険な環境にあります
• 外部または内部の脅威はネットワーク内に常に存在します
• ネットワークの場所だけではネットワークの信頼性を判断することはできません
• すべてのデバイス、ユーザー、ネットワーク トラフィックは認証および許可される必要があります
• セキュリティ ポリシーは動的であり、できるだけ多くのデータ ソースに基づいて計算される必要があります。

ネットワークの信頼性を判断するには、ネットワークの場所だけでは不十分であることを強調することが重要です。なぜなら、セキュリティ運用の実践の観点から見ると、企業のイントラネット管理には次のようなよくある誤解があるからです。社内ネットワーク（オフィスネットワークと生産ネットワーク）はセキュアであり、国境でのセキュリティを向上させることができます。「しかし、セキュリティ インシデントの観点から見ると、標的型侵入には間違いなくイントラネットへのさらなる横方向の侵入が含まれます。イントラネットに障害がなく、セキュリティ保護手段がなければ、間違いなく深刻なセキュリティ問題につながるでしょう。」

オフィス ネットワークにおけるゼロトラストの実践: BeyondCorp と Istio

ゼロ・トラスト・セキュリティの現場での実践では、現在では広く知られている。ゼロ・トラスト・プログラム主な焦点は、オフィス・ネットワーク上のセキュリティ問題に対処するためのオフィス・ネットワークである。例えば、よく取り上げられるGoogle BeyondCorpは、アクセス制御をネットワーク境界から特定のユーザー（デバイスの場所ではなく、ユーザーであるデバイスのアイデンティティに基づく）に移行することで、オフィスネットワーク上のシステムに安全にアクセスするために従来のVPNを使用することなく、ユーザーが事実上どこからでも安全に仕事をすることを可能にする。

実稼働ネットワーク内のサービス間のゼロトラスト ソリューションについては、業界には成熟したソリューションが比較的少数です。オープンで大規模で成熟しているのは Google BeyondProd だけのようです。

オープンソースの k8s アーキテクチャの下で、Istio はサービス メッシュを通じて運用ネットワークにゼロトラストを導入しようとします。中心となるアイデアは、k8s アーキテクチャを使用して、運用ネットワーク内の各ポッドにサービス メッシュ サイドカーをデプロイすることです。サービス メッシュはポッド間の RPC 通信を自然に引き継ぐため、ネットワーク アクセス認証、認証、セキュリティ ログをサービス メッシュに追加できます。しかし実際には、ネイティブ Istio にはいくつかの問題があることもわかりました。

• Istio自体のセキュリティ機能は本番環境では検証されておらず、デモの段階にある。

2. Istio は、RPC プロトコルを mtls にカプセル化することで、ワークロード間の ID 認証 (ピア認証) を実装します。 mtls によってもたらされる追加のコンピューティング コストと遅延オーバーヘッドは比較的大きく、多くの企業にとってこれを受け入れるのは困難です。

3. Istio は RCP トラフィックのみを引き継ぎ、非 RPC トラフィックの認証メカニズムは不完全です。

業界の慣例を参照し、Forrester の「ゼロトラスト モデル」の 3 つの基本概念を組み合わせることで、Alibaba Cloud チームは企業イントラネットにゼロトラストを段階的に実装しました。

• すべてのネットワーク トラフィックをチェックしてログに記録する
• すべてのソースを検証してチェックする
• アクセス制御を制限し、厳格に実施する

ゼロトラストに基づくネットワークのマイクロ分離

運用ネットワーク内の North-South データは、WAF とファイアウォールを通じてネットワークを分離できます。ワークロード間の通信、つまり東西トラフィックでは、効果的な通信が不足しています。サイバーセキュリティ分離とは分離を意味するため、マイクロ分離の中核となる機能は当然、東西トラフィックの分離と制御に焦点を当てています。

一般的な企業の運用ネットワークでは、Waf やファイアウォールなどの境界防御デバイスのみが導入されることがよくあります。まず、攻撃者が境界防御 (WAF、ファイアウォール) を突破した場合、または悪意のある従業員が運用ネットワークに接続した場合、イントラネット上のすべてのワークロードに直接アクセスできます。イントラネットの脆弱性は攻撃者に直接さらされることになり、爆発範囲を制御する効果的な隔離方法はありません。第 2 に、ビジネス、特にインターネット企業の急速な発展により、セキュリティ ドメインと VPC に基づく従来の分離方法ではビジネスの急速な変化に効果的に適応できず、効果的に分離できなくなります。最後に、クラウド ネイティブ テクノロジが徐々に普及するにつれて、k8s が大規模に適用され始めました。クラウドネイティブ環境では、アプリケーション インスタンスのワークロードは移植可能であり、短期間でも存在するため、1 日に数千、場合によっては数万の Pod が作成され、破棄されることがあります。 IP を介した従来の分離方法では、ポリシーが頻繁に変更されるため、ポリシーを維持できなくなります。

つまり、クラウドネイティブ・テクノロジーにネットワーク・マイクロアイソレーション企業の生産ネットワークを弾力的で可変的なNネットワークに分割し、急速なビジネス変化による弾力的な分離に対応し、侵入後の攻撃面を減らし、爆発半径を制御する。

実際には、Alibaba Cloud はゼロトラストを使用します。ID ベースのアクセス制御とネットワークのマイクロ分離を組み合わせる、ネットワークのマイクロ分離にアイデンティティを使用し、侵入後の攻撃対象領域を減らし、企業の実稼働ネットワークのセキュリティ防御レベルを向上させます。

同時に、Istio サイドカーのアイデアを利用して、ゼロトラストに基づくネットワークのマイクロ分離が各ワークロードのポッドに組み込まれ、アーキテクチャ レベルでいくつかの利点がもたらされます。

1. ビジネス ワークロードを導入して、アプリケーション ID の粒度でネットワーク管理を実行します
2. ビジネスが弾力的に拡大および縮小するのに応じて、セキュリティ機能を自動的に導入できます。
3. セキュリティ機能はビジネス コードから切り離されており、ビジネス システムに侵入しません。

ワークロード通信段階では、2 層の認証と認証機能も構築します。

1. L3/4 通信レベルでは、接続レベルの認証と認証を保証するために、追加のアプリケーション ID が追加されます。
2. L7 通信レベルでは、リクエスト レベルの認証と認証を保証するためにアプリケーション ID が追加されます。
3. L7 層でリクエスト レベルのアクセス制御が必要ない場合、L3/4 層の認証と認証のみが有効で、さまざまなアプリケーション層プロトコルがサポートされている場合、ネットワーク パフォーマンスはほぼ損失なしで実現できます。

セキュリティ運用レベルでは、Alibaba Cloud は段階的な展開と構築を実施します。

1. まず、インターネット境界アプリケーションとコア ビジネス アプリケーションを優先保護対象として特定します。
2. マイクロ分離セキュリティ コンテナの展開を通じて、完全なイントラネットの東西トラフィック データが収集されます
3. 元の東西トラフィック データは、アプリケーション ID + アセット ライブラリ情報を通じて、IP 間のアクセス関係をアプリケーション ID 間のアクセス関係に変換し、一定期間の観察を通じてアプリケーション間のアクセス ベースラインを確立します。
4. セキュリティ ポリシーの実行レベルでは、必須の認証と高リスク サービス (SSH、SMB、LDAP、Kerberos など) および主要なサービス (機密データ インターフェイスなど) の認証が優先され、セキュリティ分離レベルが向上します。主要なシステム。
5. 最後に、継続的な運用監視が実施されました。誤った傍受によるビジネス被害を防ぐ一方で、イントラネット上のリスクの高いサービストラフィックを監視することで、潜在的な水平侵入行為やワーム感染イベントを検出できます。

今後の展望

継続的な調査の結果、クラウド ネイティブ テクノロジーを組み合わせることで、セキュリティ分野で新たな革新的な実践を実現できることがわかりました。過去、さまざまなセキュリティ企業が、クラウド ネイティブ アーキテクチャのセキュリティ問題と、クラウド ネイティブ システムを保護する方法について考えてきました。実際、セキュリティではクラウド ネイティブ アーキテクチャを利用して、新しいセキュリティ ソリューションを作成できます。たとえば、WAF とファイアウォールの機能をサイドカーに移行し、ビジネスに合わせて迅速かつ柔軟に導入できます。セキュリティサイドカーが認証機能に加えてWAFやファイアウォール機能を備えていれば、内部ネットワークのセキュリティレベルを境界のセキュリティレベルと同等にすることができ、各ワークロードを最大限に保護することができます。

Alibaba Cloud は、クラウド ネイティブ セキュリティへの道を模索し続けます。