2023年1月21日土曜日

ゼロトラストが、ファイアウォールでは実現できない理由

結論

ゼロトラストでは、通信の内容も含めて、信頼して良いかを確認する必要がある。しかし、従来のネットワークセキュリティ対策の代表であるファイアウォールでは、通信の内容を十分に確認することができない。

通信の内容を確認するためには、従来Webサイト閲覧のセキュリティ対策として利用されていたプロキシをベースにしたゼロトラスト製品を使う必要がある。

ファイアウォールの基本機能

ファイアウォールの本来の機能は、①「どこからどこへの通信か」をみて、通信を許可・ブロックすることである。また、②自分の守るネットワークの内側から、外側へ出ていく通信に対する戻り応答は許可することも行う(ステートフル・インスペクション)。


発信元、宛先はそれぞれ2つの情報 ― IPアドレスとポート番号 ― を用いる。IPアドレスとポート番号は、現実世界の例えとして、それぞれ住所と部屋番号に例えられる。

この喩えを使うと、ファイアウォールがやることの①番目は「建物AのX号室にから、建物BのY号室に向かう人は通す、それ以外は通さない」というフィルタリングである。ファイアウォールの利用用途の多くのケースでは、建物Aがファイアウォールで守っているネットワークの外側(=危険な側。インターネット側)、建物Bが内側(=安全。社内ネットワーク側)にある。

ファイアウォールは、予め許可した通信を許可する。
許可された通信であれば、内容を問わず誰でも通してしまう


②番目は、「自分が守る建物Cから外出した人が返ってくることは認めるが、一見さんはお断り」というフィルタリングである。

中(右側)から出た通信に対する戻りの通信は許可される。



中から出た通信に対する戻りの通信ではない場合、
突然、外(左側)から中に向かって通信が発生する。
このような突然の通信はブロックされる。



ファイアウォールの課題

ここでの問題は、「通る人が誰か」を確認していないことである。どこからどこに向かっているかだけしか見ていないので、その人が正当な人なのか、悪意のある人なのかが分からない。例えば、危険物を持ち込もうとしている人がいるかもしれない。

映画マトリックスでは、サイファーがエージェント スミスと取引をし、現実世界に戻る際に自分の中にエージェント スミスを隠して、マトリックス世界と現実世界をつなぐ電話を通り抜けたシーンがあった。これと同じように、外見上は正当な人に見えても、中には悪いものを隠し持っている可能性がある。ファイアウォールでは、このような悪い人を見つけることができない。


ファイアウォールの進化(次世代型ファイアウォール)

ファイアウォールも進化をして、次世代型ファイアウォール(Next Generation FireWall、略してNGFW)になり、戻りの通信の内容を確認できるようになった(ディープ・パケット・インスペクション)。

現実世界の例に戻すと、通っている人自体を確認できるので問題は解決されたように見える。しかし、ネットワークの世界では、伝送したい情報を一度に送ることはできず(人間の目からは一度で送っているように見えるが)、実際には細かく分割してバラバラにして送り、受け取った側でそれを再構築して元の情報に戻している。分割されたもの一つひとつはパケットと呼ばれている。


現実世界の例でこれを例えると、建物間を移動する人の検査は、部位ごとに分けて検査を行うようなものだ。例えば、手の写真、腕の写真、肩の写真・・・・・という具合である(写真にしたのは、実際には体をバラバラに分割することができないため)。そして、問題がない部位の写真は通過させる。問題がある写真を見つけた段階で、それ以降の写真は全てブロックする。

ここで、隠して持ち込みたい物(例えば爆弾)がある場合、例えば、手の写真と腕の写真に分割されるようにすると、NGFWは全体をみることができず、検査をすり抜けられる(場合がある)。


ここでの問題は、部位ごとに分けて見ることしかできないという点である。部位に分けずに全身写真として見ることができれば、爆弾を持っていることを発見できる。


プロキシ型の検査

実は、ディープ・パケット・インスペクションには、もう一つの形態がある。これは、バラバラに分割された通信内容(つまりパケット)をすべて受け取り、再構築して元の「伝送したい情報」に戻して検査した後、問題がなければ、再度バラバラに分割して、宛先に向かって送り出す方式(プロキシ方式)である。

この方式の検査は、(次世代型)ファイアウォールではなく、プロキシと呼ばれる製品で実現されている。ちなみに、プロキシ方式ではない方は、パス・スルー方式と呼ばれている。


先程の例に戻って考えると、プロキシ方式では、受け取った部位ごとの写真を人の形に並べて問題がないことを確認する。問題がなければ、写真を送り出す。問題があれば、その写真全部をブロックする。


パス・スルー方式のもう一つの問題は、問題が見つかる以前の通信(上の例では写真)が通り抜けていることである。通過できてしまった部位だけを組み上げるだけで、危険物が出来上がる可能性も否定できない。


そのため、通信の内容を正しく確認するためには、パス・スルー方式で実現されているファイアウォールではなく、プロキシ方式を実現しているプロキシを使う必要がある。


結論

ゼロトラストでは、通信の内容も含めて、信頼して良いかを確認する必要がある。しかし、上記で見たように、従来のネットワークセキュリティ対策の代表であるファイアウォール(パス・スルー方式)では、通信の内容を十分に確認することができない。

通信の内容を確認するためには、従来Webサイト閲覧のセキュリティ対策として利用されていたプロキシをベースにしたゼロトラスト製品を使う必要がある。

 


"ゼロトラストが、ファイアウォールでは実現できない理由" 」の続きは以下より

(分割表示)
at
Labels: , ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)

注目の投稿

なぜ、今、ゼロトラストなのか ~ 企業ネットワークの変遷

なぜ、今、ゼロトラストの必要性があちこちで話されるのかをまとめた。(前編) ゼロトラストの概念が出てから10数年が経ち、IT業界・ITセキュリティ業界で「ゼロトラスト」という言葉を最近よく耳にする。 なぜゼロトラストが必要になったのか、企業ネットワークの変遷を踏まえて考える。

人気の投稿

  • SPA(Single Packet Authorization)とは
    SDP(Software-Defined Perimeter)において、制御を行うサーバはインターネット上に公開される必要がある。しかし、インターネットに公開されることは、正規利用者以外にも、攻撃者からもアクセスできることを意味する。 そのための対応として、通信の最初の最初の段階...
  • なぜ、今、ゼロトラストなのか ~ 企業ネットワークの変遷
    なぜ、今、ゼロトラストの必要性があちこちで話されるのかをまとめた。(前編) ゼロトラストの概念が出てから10数年が経ち、IT業界・ITセキュリティ業界で「ゼロトラスト」という言葉を最近よく耳にする。 なぜゼロトラストが必要になったのか、企業ネットワークの変遷を踏まえて考える。
  • VPNの課題
    昨今、ランサムウェアによる被害のニュースが増えているが、その原因として大きく2種類あるように思う。 ①正規利用者のユーザID・パスワードが盗用されたケース ②ネットワーク機器(特にVPN機器)の脆弱性(設定ミスも含む)を悪用されたケース よく語られている対策は次のとおり。 ①につ...