過去2回の記事では、リモートワークが予想外に加速していることについてお話ししました。 COVID-19 グローバルパンデミック そして VPN とはどのようなものか 信頼できるものを提供できない、これらすべての新しいリモート従業員への安全なインターネットアクセス。新しいネットワークアーキテクチャが必要であることは明らかですが、組織がネットワークアーキテクチャを一度に取り除いて置き換えることを期待するのはやり過ぎです。慎重かつ段階的なアプローチの方が現実的です。最初のステップは、スプリットトンネリングによってデータセンターのトラフィックをインターネットトラフィックから分離することです。これにより VPN トラフィックを 70% 削減でき、負荷がはるかに管理しやすくなります。2 番目のステップは、グローバルクラウドプロキシを通じてインターネットトラフィックを保護することです。これが完了したら、組織はVPNサービスを完全に廃止し、効率と一貫性を保つためにすべてをグローバルクラウドプロキシ経由でルーティングすることを検討したいと思うかもしれません。しかし、繰り返しになりますが、これは慎重なアプローチであるべきであり、レガシーVPNを完全に置き換えることを急ぐべきではありません。
しかし、グローバルクラウドプロキシはどのように設定すべきでしょうか?どのような機能が必要か?
Gartnerは最近、セキュアWebゲートウェイ(SWG)への移行のベストプラクティスに関する優れたレポートを公開しましたので、お問い合わせいただきありがとうございます。当然のことながら、このガイドは以下を実装するためのロードマップとして役立ちます。 分離コア™ を備えたMenlo Securityグローバルクラウドプロキシプラットフォーム。
Gartnerによると、組織はクラウドを基盤とし、ユーザーとリモートサイトをIPsecまたはGREトンネリングで接続し、タイプ別にユーザーを認証し、TLS証明書をクラウドにデプロイし、高度な脅威検出テクノロジーを使用し、段階的にユーザーの一部に展開できるSWGを探す必要があります。
従量制ポリシーのロールアウト: 懸念事項を軽減し、問題を迅速に解決するために、実装プロセス中はユーザーとのコミュニケーションラインを開いたままにしてください。基本ポリシーセットを定義したら、それを実装し、ソリューションを一部のユーザーに展開します。たとえば、まず未分類のサイトをクラウドに送信するポリシーを作成し、それを最初にリモートユーザーに展開することができます。これにより、組織全体に拡大する前に、ボトルネックを特定、トラブルシューティング、解決することができます。
サイトとリモートユーザーを SWG に接続: リモートサイトに接続するには、IPSecトンネルまたはGREトンネルのいずれかを設定することが重要です。どちらを選択するかは、トラフィックリダイレクトの計画とネットワークベンダーのサポートによって異なります。また、エンドポイント管理チームと協力して、エージェントをデプロイしたり、ブラウザ用のプロキシ自動構成 (PAC) ファイルを設定したりする必要もあります。
タイプ別にユーザーを認証: ユーザーがクラウドSWGサービスに対して認証できること、およびポリシーが組織のセキュリティポリシーに基づいてコンテンツをブロックしていることを確認してください。ユーザー属性マッピングは、特定のコンテンツを目的のユーザーに渡すことを許可するきめ細かなポリシーの作成に役立ちます。マルチドメインの Active Directory 環境を使用していて、ユーザーとグループのマッピングをこれに依存している場合、複雑さが増す可能性があります。
TLS 証明書をクラウドにデプロイ: 組織のTLS証明書をクラウドSWGプラットフォームにデプロイし、必要なカテゴリが検査されていることを確認します。また、機密性の高い個人情報が含まれる可能性があるカテゴリには、適切なプライバシーポリシーを設定する必要があります。これは、個人を特定できる情報 (PII) を扱う医療、銀行、その他の業界では特に重要です。独自の証明書を導入できない場合は、証明書のエラーや警告が発生しないように、ベンダーの証明書をエンドポイントに配布する必要があります。証明書がピン留めされているために TLS 検査をサポートしていないサイトでも TLS 検査を迂回できるようにするには、適切な例外処理を設けることが重要です。
高度な脅威検出の設定: 組織に届く前にファイルやコンテンツをスキャンすることが不可欠です。ランサムウェアやマルウェアの最大の攻撃経路は、Web ベースの電子メールや悪意のある Web サイトからユーザーがダウンロードした添付ファイルによるものです。高度な脅威検出テクノロジーには、リモートブラウザ分離 (RBI) によるサンドボックス処理が含まれます。
Isolation Core™ を搭載したMenlo Securityグローバルクラウドプロキシプラットフォームは、クラウドを通じてセキュリティを提供し、スプリットトンネリングを可能にすることで、ガートナーの推奨事項を満たしています。これらの機能により、Menloはリモートワーカー向けの新しいサイバーセキュリティアーキテクチャを構築できます。このアーキテクチャでは、データセンターへのトラフィックはVPNで保護され、すべてのインターネットトラフィックはMenlo Securityによってクラウドで保護されます。これは、すべてのセキュリティ制御をクラウドに移行する際の重要な第一歩です。Menlo Securityは、Isolation Core™ によるセキュリティの提供において優れています。Isolation Core™ は、ほとんどのSWGソリューションで標準となっているブロック・オア・アロウのアプローチではなく、ブロック・オア・アイソレーションのアプローチを採用しています。Web ベースの脅威からユーザーを 100% 保護する唯一の方法は、エンドポイントから遠く離れたクラウド内のすべてのトラフィックを隔離することです。さらに、隔離はMenlo Securityのグローバル・クラウド・プロキシ・プラットフォームの基盤です。ネイティブユーザーエクスペリエンスに影響を与えずに、100% 安全なメールとウェブブラウジングをユーザーに提供します。また、IT 部門はユーザー、データ、アプリケーションをきめ細かく可視化して制御できるようになります。
今日のリモートユーザーを保護するために、組織が新しいネットワークアーキテクチャを必要としていることは明らかです。すべてのセキュリティサービスをクラウドを通じて提供することは大きな最終目標ですが、組織には混乱の少ない、慎重かつ段階的な導入ロードマップが必要です。
最終的には、セキュリティは 100% クラウドで提供されるようになるでしょう。それが私たちが向かっている方向であることは明らかです。しかし、それまでは、Menlo Securityは、リモートワーカーから始めて、ガートナーのSWGベストプラクティスと歩調を合わせた、リスクの低い導入ロードマップを提供しています。詳細については、当社をダウンロードしてください。 リモートワーカーガイド 組織の遠隔地にいる従業員に、信頼性が高く安全なインターネットアクセスを提供する方法を学びましょう。どんなことでもお気軽にお問い合わせください 質問。