米国 NSA ネットワークと環境のピラーでゼロトラストの成熟度を進める (2024.03.05)

こんにちは、丸山満彦です。

米国の国家安全保障局が、ネットワークと環境のピラーを通してゼロトラストの成熟度を高めるためのガイドを公表していますね...

ゼロトラストアーキテクチャには、7つのピラー、

USER	ユーザー
DEVICE	デバイス
APPLICATION & WORKLOAD	アプリケーションとワークロード
DATA	データ
NETWORK & ENVIRONMENT	ネットワークと環境
AUTOMATION & ORCHESTRATION	自動化とオーケストレーション
VISIBLITY & ANALITICS	可視性と分析

が、ありますが、

今回のテーマは、NETWORK & ENVIRONMENTです...

 

主要な機能は...

Data flow mapping	データフロー・マッピング
Macro segmentation	マクロ・セグメンテーション
Micro segmentation	マイクロ・セグメンテーション
Software Defined Networking	ソフトウェア・デファインド・ネットワーキング

 

 

● National Security Agency/Central Security Service

・2024.03.05 [PDF] Advancing Zero Trust Maturity Throughout the Network and Environment Pillar

 

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー..

Executive summary	エグゼクティブサマリー
After gaining access to an organization’s network, one of the most common techniques malicious cyber actors use is lateral movement through the network, gaining access to more sensitive data and critical systems. The Zero Trust network and environment pillar curtails adversarial lateral movement by employing controls and capabilities to logically and physically segment, isolate, and control access (on-premises and off-premises) through granular policy restrictions.	組織のネットワークにアクセスした後、悪意のあるサイバー・アクターが最もよく使う手法の1つは、ネットワークを横方向に移動し、より機密性の高いデータや重要なシステムにアクセスすることである。ゼロトラストのネットワークと環境のピラーは、きめ細かなポリシー制限を通じて、論理的・物理的にセグメント化、隔離、アクセス制御（オンプレミスおよびオフプレミス）を行う管理・機能を採用することで、敵対的な横の動きを抑制する。
The network and environment pillar works in concert with the other Zero Trust pillars as part of a holistic Zero Trust security model that assumes adversary breaches occur inside the network, and so limits, verifies, and monitors activities throughout the network.	ネットワークと環境のピラーは、他のゼロトラストのピラーと協調して、敵の侵害がネットワーク内部で発生することを想定し、ネットワーク全体の活動を制限、検証、監視する全体的なゼロトラスト・セキュリティ・モデルの一部として機能する。
The concepts introduced in this cybersecurity information sheet provide guidance on enhancing existing network security controls to limit the potential impact of a compromise through data flow mapping, macro and micro segmentation, and software defined networking. These capabilities enable host isolation, network segmentation, enforcement of encryption, and enterprise visibility. As organizations mature their internal network control, they greatly improve their defense-in-depth posture and, consequently, can better contain, detect, and isolate network intrusions.	このサイバーセキュリティ情報シートで紹介するコンセプトは、データフロー・マッピング、マクロ・マイクロ・セグメンテーション、ソフトウェア・デファインド・ネットワーキングを通じて、侵害の潜在的影響を制限するために既存のネットワーク・セキュリティ管理を強化するためのガイダンスを提供するものである。これらの機能により、ホストの分離、ネットワークのセグメンテーション、暗号化の実施、エンタープライズの可視化が可能になる。組織は、内部ネットワーク制御を成熟させることで、徹底的な防御態勢を大幅に改善し、その結果、ネットワーク侵入をより適切に封じ込め、検知し、隔離することができる。