default-focus-right

ゼロトラストアクセスゲートウェイ (ZTAG)

ゼロトラストアクセスゲートウェイ (Zero Trust Access Gateway、ZTAG) は、煩雑な作業を必要とせずに重要なアプリケーションへの安全なアクセスを提供するための革新的なアプローチです。

アプリケーションとサービスへの安全なアクセス

ZTAG (ゼロトラストアクセスゲートウェイ) は、アプリケーションとサービスへの安全なアクセスのために、ゼロトラストモデルを使用したアプローチです。このアーキテクチャは、Loadmaster ADC、IAM 統合、およびインテリジェントベースのコンテキストトラフィックステアリングを活用して、プロキシされたアプリケーションを保護します。API ベースのポリシービルダーを使用すると、ゼロトラストアクセスゲートウェイ・ポリシーの定義と適用を LoadMaster インスタンスに自動的にデプロイできます。

リモートアプリケーションアクセス

  • iDP インテグレーション
    クラウド ID プロバイダーと統合して、保護されたアプリケーションやサービスへのアクセスを許可する前に、クライアントの ID と資格情報を検証します。
  • ロケーションベースのポリシーロジック
    リクエストが来たクライアントのロケーションを他の通信特性と組み合わせて活用し、サービスアクセスとルーティングに関する決定を行います。
  • 選択的認証
    事前定義されたセキュリティゾーンに基づいて、クライアントセッションの認証要件レベルをコントロールします。

アクセスセグメンテーション

  • マルチネットワークセグメントサービス
    信頼レベルに基づく専用のルールとロジックを使用して、複数のアクセスゾーンまたは VLAN にわたって共有リソースとサービスをパブリッシュします。個々のアプリケーションサービスは論理的に分離されており、マイクロサービスアーキテクチャに基づく展開もサポートできます。
  • PCI DSS コンプライアンス
    機密情報にアクセスするトラフィックは、強制的な暗号化と追加の多要素認証要件を持つ、分離されたクライアントソースゾーンに制限できます。この機能を、Web アプリケーションファイアウォール、転送中データの暗号化と組み合わせることで、PCI DSS コンプライアンスにつながります。


統合とコストの削減

  • ソリューションの統合
    リモートワーク環境が増加すると、セキュアなアプリケーションの公開などに関連するコストが倍増する可能性があります。サービスを統合することで、管理が合理化され、運用コストを削減することが可能です。
  • 投資収益率の最大化
    ゼロトラストアクセスゲートウェイ (ZTAG) を活用することで、既存のインフラストラクチャの投資収益率が最大化されます。


内部脅威を軽減するために横方向の移動を制限

  • セキュリティグループのアクセス検証
    一般的なディレクトリサービスおよび ID プロバイダーとの統合を利用して、アプリケーションへのアクセス資格を決定するためのロジックへの入力としてセキュリティグループを含めることができます。
  • トラフィックステアリングポリシー
    ユーザーのセキュリティグループメンバーシップを利用して、接続を許可するアプリケーション内のサービスと、実行できる通信の種類を決定します。高い信頼性が必要なサービスに接続する前に、検証されていない接続をリダイレクトし、より厳格な認証を適用して、ブルートフォースアクセスの試行を軽減します。


マイクロサービスとコンテナアプリケーションの保護

  • 末端間の通信のコントロール
    サービス内通信にゼロトラストモデルを適用してマイクロサービスアーキテクチャの多層防御を利用することで、環境が侵害された場合の損害の可能性を軽減します。
  • サービスレベルのアクセスコントロール
    すべてかゼロかの単純なモデルではなく、アプリケーション内の個々のサービスへのきめ細かいアクセスコントロールを行うことができます。
  • Kubernetes の統合
    LoadMaster Kubernetes Ingress Controller 機能を利用することで、従来のワークロードに適用されていたアクセスポリシーをコンテナ化されたワークロードに拡張できます。


オブジェクトストレージのアクセスコントロール

  • メソッドベースのアクセスポリシー
    クライアントのセキュリティゾーンと ID に基づいて、S3 バケットへのアプリケーションとユーザーのアクセスをストレージ操作に至るまできめ細かくコントロールします (例えば、セキュリティゾーン A のクライアントは読み取りだけが可能なようにし、セキュリティゾーン B のクライアントは書き込みも許可されるが削除は実行できないようにする、など)。
  • コンテキストを配慮した S3 トラフィックフローの認識
    認証ヘッダーなどの S3 トラフィックフローに共通のトラフィックヘッダー情報を使用して、オブジェクトストレージのバケットアクセスとトラフィックステアリングを決定します。
オブジェクトストレージのゼロトラストアクセスの詳細

主な機能

  • ID プロバイダー (iDP) の統合
  • 多要素認証と SSO
  • アプリケーションのための複雑なアクセスコントロールとトラフィックステアリング
  • トラフィックフローの特性に基づくきめ細かいポリシー調整
  • REST ベースのポリシービルダーによる自動設定とデプロイ
  • アプリケーションのリバースプロキシ
  • コードとしてのインフラストラクチャ (Infrastructure as Code、IAC) 設定モデル
  • ID ベースのアプリケーションのアクセス分離
  • 安全なマルチネットワークサービスパブリッシング