ZTNAを使ってみよう

2021年になってますますゼロトラストが浸透しているように感じますが、ここに来てゼロトラストをソリューション化したカテゴリとしてZTNAというものが少しずつ注目されてきています。

ZTNA（Zero Trust Network Access）ってなんでしょうか？

簡単に説明すると、ゼロトラストを使ったネットワークアクセスを提供するソリューションまたは製品カテゴリで、VPNのようにインターネット越しに社内などのプライベートネットワークへ安全にアクセスするためのソリューションのようです。

SWG（Secure Web Gateway）とセットで利用されることが多く、インターネット/パブリックサイトへのアクセスはクラウド型のWebプロキシで、アクセス制御とコンテンツのチェックを行い、ZTNAによって、プライベートゾーンへのアクセスを制御することで、ユーザーの場所を問わず、24時間365日、ネットワークアクセスを制御しやすくなっています。

SWGとZTNAはセットで考える

大手のSWGのベンダーの場合ZTNAの機能をオプションとして利用できる場合があります。

イメージは以下の通りで、SWGで制御できないプライベートアクセスをZTNAで厳格にアクセス制御することが目的です。

ZTNA自体はプライベートネットワークへのアクセス制御のみなので結構地味な機能ですが、とても重要な機能です。 リモートデスクトップ、ファイルサーバーアクセス、各種サーバーのメンテナンス、社内イントラシステムなど、全て環境をクラウド化できない環境も多く、プライベートゾーンに対して安全にアクセスさせる要件は残り続けます。

SDPとの違いについて

ZTNAとよく似ている製品としてSDPというものがあります。 本サイトでも、SDPについては何度か記事を投稿していますが、可能であれば、SDPとZTNAはセットで覚えておいてほしいソリューションです。

いずれの製品も基本的にはプライベートネットワークへのアクセス制御を行うソリューションとしてコンセプトは同じですが、クラウド基盤のZTNAに対して、オンプレ基盤のSDPでは細かい点での機能差異がかなりあります。実はこの点についてはかののブログにて紹介しています。 少し前までは、ZTNAに対してのよい表現方法がなくて、"クラウド型のSDP"という風に分類していましたが、ZTNAという呼び名が定着してきたようなので、"クラウド型のSDP＝ZTNA"という風に置き換えれるのではと思います。

ZTNAとSDPの比較はこちらから

テレワーク環境の安全なリモートアクセスはSDPがおすすめ。SDP製品の選び方

ZTNAの需要が伸びるわけ

なぜZTNAがこんなに注目されているのでしょうか？ 社外から社内へのアクセスだけなら従来のリモートアクセス方式だとだめなのでしょうか？

ZTNAとしては通信経路がIPSecやSSLで提供されるケースもあれば、それ以外としてTLSやSSHを利用されるケースもあります。 特に通信する際の経路プロトコルが重要なのではなく、どのように安全性を担保するか。またはどのようにユーザーやデバイスを特定するか。その点において従来のリモートアクセス方式と区別ができます。 今後多くのベンダーからZTNAと呼ばれるソリューションはリリースされることは間違いありません。 ただ間違いなく言えることは、ゼロトラストアーキテクチャを採用するにあたっては、コントローラー（アクセス権の払い出し）とデーター（暗号通信の終端）は必ず分けて提供されることが前提です。更に、ユーザーやデバイスといったの単一情報ではなく、ユーザ＋デバイス＋コンテキスト（時間、地理的情報、デバイスの状態など）複合的に検証した結果による制御が求められるということです。

クラウドで完結するネットワーク

冒頭の説明どおり、ZTNAはSWGとセットで利用することが前提です。クラウドの管理コンソールを使って、ユーザーが利用するネットワーク範囲を定義することになります。 オンプレのシステムにおいて、可用性の点で、ゲートウェイの冗長性やソフトウェアのバージョンアップなどで悩まれている方も多いと思います。管理基盤がクラウドに移行することができれば、システム管理者は可用性について考える必要はなくなるため、とても身軽になります。 注意していただきたいのは、クラウドサービスに移行したからと行って、完全に可用性を担保できるということはありません。

ユーザーにとってのメリットも大きい

ユーザーがVPNアクセスを意識しなくなるというのは大きな変化です。原則的にユーザーは常にVPN通信を強制しておき、システム側がVPNが必要な場所かそうでないかを区別し、コントロールするように慣ればとても楽な運用ができます。ユーザーはどこからでも、どんなデバイスでも常に同じ方法で社内システムへアクセスすることで、社内インフラを意識することなく、安全に利用することができるようになります。

もちろん、ZTNAのアプリケーションがインストールされていないユーザーは社内システムを利用することができないため、従来のリモートアクセスVPNのようなデプロイをするのではなく、ユーザーのデバイスにユーザー自身が簡単にZTNAができるような仕組みが提供されています。

安全性も更に向上

通信自体の安全性はリモートアクセスVPNもZTNAもとても強固な暗号化通信ができるので変わりません。 しかし、VPNのようにインターネット上に公開するアプライアンスやソフトウェアの脆弱性に晒す必要がないことや、特定の物理的なロケーションに限定されたセキュリティ制御ではないので、適切な業務端末を利用する限り、どこにいても、いつでも常に企業が定義したセキュリティポリシーに準拠させられるというのが最大のメリットです。

ZTNAを利用するにあったっての注意点

とはいえ、ZTNAが絶対的な存在かというとそうではなく、やはりメリットもあればデメリットもあります。 リモートアクセスVPNと比べて、管理と制御の関するメリットが多くありますが、一つ上げるなら

ユーザーDB（認証）はSAMLが基本です。

これ意外と重要ではないでしょうか。 ZTNAのサービスによっては、ローカル（システム上）にIDを登録仕組みもありますが、ある程度の規模になってくると、既存のユーザDBを使いたいケースはよくあります。

すでにIDaaSを使ってシングルサインオンを利用されている、ADFSを利用されている環境ではほぼ問題にはなりませんが、まだまだ多くの企業のID管理はオンプレ側にあり、クラウドサービスの利用との連携はできていない可能性があります。 せっかく優れたアクセス制御のソリューションであっても、根幹のID管理の点で対応できない場合はやはりオンプレ型のシステムを利用するのが正しいアプローチだと思います。多くのリモートアクセスVPNやオンプレSDPはオンプレ型のユーザーDBに対応し、更にIDaaSやSAMLに対応しているので、ユーザーDBの活用という点でいうとオンプレシステムはとてもメリットのあるソリューションです。

---

チャレンジ！　Barracuda CloudGen Access

今回、ZTNAがどんなものなのかを知っていただくために、トライアルさせていただいたのは、Barracuda CloudGen Accessと呼ばれるZTNAソリューションです。バラクーダが2020年にFydeを買収したホヤホヤのZTNAで数年前から検証してみたかった製品の一つです。

https://www.fyde.com

https://www.barracuda.co.jp/products/cloudgen-access

こちらの製品の特徴は、SWGがないZTNA専用のソリューションですが、クライアントからダイレクトに拠点のプロキシサーバーへアクセスできたり、DNSフィルタリングが搭載されていて、簡易的なSWGのような制御もできるという点です。

幸運なことにバラクーダに買収されることで以下サイトからトライアルができるようになりました。次回の記事では実際にCGAをインストール、実環境で利用してみますのでその内容を紹介します。

CGAのトライアルはこちらから

次回、Barracuda CloudGen Accessを検証してみますので、ZTNA及びCGAについて興味のある方はご期待ください。 ※なお、現時点(2021/1）では未発売の製品となります

まとめ

ZTNAはプライベートネットワークへ安全なアクセスのために必要とされる新しい形のリモートアクセスソリューションです。 基本はSWG（Secure Weg Gateway）とセットで利用することで、パブリックとプライベートネットワークへのアクセス制御の両方を同時に提供することができます。 クラウドで管理されるため、特にリモートワーカーが多い環境、SaaSやクラウドアプリケーションを多用している環境だと従来のオンプレ型のシステムを利用するより柔軟性があり、素早く展開することができます。 ゼロトラストアーキテクチャによって、コントロールとデータープレーンが分離していることも特徴となります。

では次回お楽しみに。