Sophos Zero Trust Network Access (ZTNA) がまもなく登場 – よくある質問

製品Sophos ZTNA

Sophos Zero Trust Network Access は、来年初めにソフォスに登場する素晴らしい新製品カテゴリです。組織がネットワークアプリケーションの保護方法に変革をもたらすことを約束します。

202012月 04作成者:

Sophos ZTNA は、まずソフォスパートナーポータル、その後 www.sophos.com にまもなく掲載される新しい製品カテゴリです。今後の予定についての詳細を常に確認してください。よくある質問にアクセスして、万が一情報を見逃してしまう場合に備えて最近の SophSkills の録画版を再度ご確認ください。

ZTNA とは何ですか? 

最近の SophSkills のセッションに参加できなかった場合、このビデオプレゼンテーションでは、なぜ ZTNA がそれほど重要なのか、Sophos ZTNA がどのようなものになるのかについてなどすべてを説明します。また、ここから PowerPoint ファイルを取得することもできます。

ZTNA はゼロトラストの原則に基づいています。  ZTNA は、窃取された認証情報が侵害の原因にならないように、通常、多要素認証を使用してユーザーを検証し、デバイスの正常性とコンプライアンスを検証(登録されているか、最新の状態であるか、適切に保護されているか)します。  次に、その情報を使用して、重要なネットワークアプリケーションへのアクセスおよび権限を 制御するためにポリシーを基にした決定を下します。

 

ZTNA のメリットは何ですか (リモートアクセス VPN と比較した場合)?

リモートアクセス VPN は引き続き機能しますが、ZTNA では、さらに優れたソリューションとなる次のような多くのメリットがあります。

  • より詳細に制御:  ZTNA を使用すると、ラテラルムーブメントを最小限に抑えたり、セグメントを改良するアプリケーションやデータにアクセスできるユーザーをより詳細に制御できます。  VPN は絶対的であり、いったんネットワークに接続されると、VPN は通常すべてのものにアクセスできます。
  • セキュリティの向上:  ZTNA は絶対的な信頼を排除し、アクセスポリシーにデバイスステータスと正常性を組み込んで、セキュリティをさらに強化します。  VPN では、侵害されたデバイスやコンプライアンス違反の可能性のあるデバイスに対して、アプリケーションデータを危険にさらすデバイスステータスを考慮することはありません。
  • 雇用者の登録が容易: ZTNA は、特にリモートで業務をしている場合、新規雇用者のロールアウトや登録が非常に簡単になります。  VPN のセットアップと導入は、より多くの課題をかかえて、困難です。
  • ユーザーに対する透明性:  ZTNA は、シームレスな接続管理により、ユーザーに「問題なく機能」する透明性を提供します。  VPN では難しく、サポートコールを利用することになるでしょう。

全体的に ZTNA では、テレワーカーや支社との接続を可能にするはるかに優れたソリューションを提供します。

Sophos ZTNA とは?

Sophos ZTNA は、まったく新しいクラウド配信のクラウド管理型製品で、重要なネットワークアプリケーションをきめ細やかな制御で簡単かつ透明性のある保護をします。アーリーアクセスプログラム (EAP) は 2月に開始される予定です。

Sophos ZNTA は次の 3つの構成要素から成り立っています。

  • Sophos Central – Sophos ZTNA を含むすべてのソフォスの製品群に究極のクラウド型管理やレポートソリューションを提供します。  Sophos ZTNA は、簡単な導入、きめ細かいポリシー管理、クラウドからの洞察に優れたレポートを提供する Sophos Central で使用できる完全なクラウド対応製品です。
  • Sophos ZTNA Gateway – ネットワークアプリケーションを保護するためのさまざまなプラットフォーム用の仮想アプライアンスとしてオンプレミスまたはパブリッククラウドで提供されます。AWS と VMware ESXi のサポートの次には Azure、Hyper-V、Nutanix などが予定されています。。
  • Sophos ZTNA Client – ID とデバイスのセキュリティ状態に基づいて、エンドユーザー向けに制御されたアプリケーションへ透明性がありシームレスな接続を提供します。この製品は、Synchronized Security for Heartbeat とデバイスのセキュリティ状態とを統合します。Sophos Central からの導入は非常に簡単です。ワンクリックのみで Intercept X と同時に簡単に導入するオプション、または任意のデスクトップ AV クライアント (Windows Security Center からセキュリティ状態を取得) とスタンドアロンで動作させることができます。  最初は Windows をサポートし、その後 macOS、Linux とモバイルデバイスプラットフォームの順でサポートします。

Sophos ZTNA の基本ブロック図は次のとおりです。

Sophos ZTNA に関するよくある質問:

主な日程はいつですか?

EAP (アーリー アクセス プログラム) は 2月に開始される予定です。発売は 2021年半ば頃を予定しています。

どのようなアプリケーションを保護できますか?

Sophos ZTNA は、企業のオンプレミスネットワーク、もしくはパブリッククラウドやその他のホスティングサイトでホストされるネットワークアプリケーションを保護できます。  ネットワークファイル共有への RDP アクセスから Jira、Wiki、ソースコードリポジトリ、サポートおよびチケットアプリなどのアプリケーションまですべてが対象です。

ZTNA は、Salesforce.com や Office365 のような SaaSアプリケーションを保護できません。これは、多くのクライアントへサービスを故意に提供しているパブリックインターネット接続アプリケーションのアプリケーションをお客様が所有していないためです。  これらのアプリケーションへのアクセス制御は、すでに多要素認証によって効果的に行われています。お客様がさらに詳細な制御を必要とする場合は、CASB がこのようなタイプのアプリケーションにアクセス制御を実行するテクノロジーとなります。  また、ソフォスは、今後 CASB を含む予定である SASE 戦略にも取り組んでいます。

どのクライアント、ゲートウェイ、ID プラットフォームがサポートされますか?

クライアントプラットフォームでは、最初はすべてのクライアントプラットフォーム (EAP1)、ネイティブ Windows および Mac サポート (EAP2) にわたるクライアントレスのオプションが含まれ、次に Linux とモバイルデバイスプラットフォーム(iOS および Android) の順で発表されます。

ゲートウェイプラットフォームでは、最初は EAP 用の AWS (パブリッククラウド) と VMware ESXi (仮想アプライアンス) が含まれます。  これは、のちに Azure、Hyper-V、Nutanix、K8S、および GCP などの他のプラットフォームにも拡張されます。

ID プラットフォームについては、Sophos ZTNA は最初に EAP1 の Azure Active Directory (AD) と EAP2 の Okta をサポートします。サポートされているディレクトリサービスには、Azure とオンプレミス AD を含みます。お客様は、今後のリリースで提供されるサードパーティ製の MFA ソリューションのサポートにより、すぐに Azure の MFA オプションを利用できます。

Sophos ZTNA ゲートウェイは、ハードウェア、仮想、それともクラウドですか?

Sophos ZTNA ゲートウェイは仮想アプライアンスのみです。ハードウェアバージョンはなく、ホストされたサービスでもありません。  お客様は、クラウド (AWS、Azure、Nutanixなど)、またはデータセンターやオンプレミス (仮想アプライアンスを使用) でホストされているアプリケーションを保護するために上記に記載されたプラットフォームのいずれかに必要な数の Sophos ZTNA ゲートウェイを (無料で) 導入することができます。

ZTNA はスタンドアロン製品ですか、それとも別のソフォス製品が必要ですか?

Sophos ZTNA はスタンドアロン製品で、別のソフォス製品を必要としません。  Sophos Central により無料で管理されており、お客様がほかのソフォス製品をお使いの場合は数多くのメリットがあります。  Intercept X と同時に簡単に導入できますが、Intercept X は必須ではありません。  Sophos ZTNA は、あらゆるベンダーのデスクトップ AV またはファイアウォールと連動できます。

Sophos ZTNA クライアントの導入はどのように機能しますか?

Sophos ZTNA は、Sophos Central からデバイスを保護する際に、Intercept X およびデバイス暗号化と一緒に導入するオプションになります。  このリストに追加されます。

ZTNA は Sophos XG Firewall および Intercept X と統合されますか?

Sophos ZTNA は、XG Firewall および Sophos Intercept X と完全に互換性があります。実際、Security Heartbeat を利用して、ZTNA ポリシーで使用できるデバイスのセキュリティ状態を評価します。  前述したように、ZTNA クライアントの導入は、CIX ロールアウトの一部として簡単に実行できます。これは、ただボックスにチェックを入れるだけです。  もちろん、Sophos ZTNA は他のベンダーのデスクトップ AV やファイアウォール製品と完全に連動することもできますが、XG Firewall および Intercept X などのソフォス製品との連携でさらに優れます。

最終的には、ファイアウォールに ZTNA ゲートウェイ機能を組み込む予定ですが、現時点では ZTNA の最大の機会はあらゆるファイアウォールとも連動でき、スタンドアロンソリューションとして提供することです。

ライセンスと価格設定はどのように機能しますか?

Sophos ZTNA はエンドポイント製品のようにユーザーベースでライセンス供与されます。  そして、ユーザーデバイスごとではなく、ユーザーごとだけであるため、ユーザーが 3台のデバイスを所有している場合は、必要なライセンスは 1つのみです。

お客様は、すべてのアプリを保護するために必要な ZTNA ゲートウェイの数を導入することができます。  ゲートウェイまたは Central 管理は料金はかかりません。

発売時には無償評価版があります。

その他のよくある質問:

次のものと ZTNA とを比較した場合

Duo?

Duo は、多要素認証 (MFA) に重点を置いた ID テクノロジープロバイダーで、ユーザーが ID を確認できるように支援します。  ID と MFA、つまり Duo は ZTNA ソリューションの一部です。  また、ZTNA は、デバイスの正常性も確認します。  Sophos ZTNA は、まずは Azure MFA をサポートし、最終的には Duo やその他の MFA ソリューションもサポートします。

NAC?

NAC および ZTNA テクノロジーは、どちらもアクセスを提供するものであるため同じように聞こえますが、この類似性にある違いについて説明します。  NAC (ネットワークアクセスコントロール) は、ローカルのオンプレミスネットワークへの物理的なアクセスを制御することに焦点を当てています。  ZTNA は、データと特定のネットワークアプリケーションがどのネットワークにあるかに関係なく、アクセスを制御することに関心を持っています。

VPN?

リモートアクセス VPN は十分なサービスを提供してくれますが、ZTNA には上記で概説した VPN と比較した際に多くのメリットがあります。  もちろん、VPN が引き続き優れたソリューションである状況もあります。たとえば、比較的少人数 (IT 部門など) がネットワークアプリケーションやサービスを運営するために幅広いアクセスが必要な場合です。  そしてもちろん、VPN はサイト間接続に役立ちます。  しかし、ほとんどの組織のユーザーにとって ZTNA は、リモートアクセス VPN 取って代わり、ユーザーにとってより透明性に優れ、より簡単でありながらも、さらに細かで向上したセキュリティソリューションを提供ます。

ファイアウォール?

ZTNA は、VPN と同様ファイアウォールを無料で利用できます。  もちろん、ファイアウォールは、企業のネットワークやデータセンターのアセットの攻撃、脅威、不正アクセスから保護するうえで、非常に重要な役割を依然として果たします。  ZTNA は、クラウドまたはオンプレミスのネットワークアプリケーションに対し、詳細な制御やセキュリティを追加することで、ファイアウォールを強化します。

Synchronized Security?

ZTNA および Synchronized Security は、どちらもデバイスのセキュリティ状態を使用してネットワークアクセス権限を判断できるという点で概念的には類似しています。  実際、Sophos ZTNA は、デバイスのセキュリティ状態を評価する際の重要なコンポーネントとして Security Heartbeat を使用します。  ユーザーが Red Heartbeat を搭載したデバイスを持っている場合、ファイアウォールでネットワークアクセスが制限できるように、ポリシーによりアプリケーションアクセスを制限できます。しかし、ZTNA は、ユーザー ID 検証を統合することで、Synchronized Security よりもさらに強化されます。  また、ZTNA は、アプリケーションへの権限やアクセスの制御に重点を置く一方、 Synchronized Security は脅威への自動応答や脅威をデータの移動や盗難から保護することに重点を置いています。

SASE?

SASE (読み方「サシー」)、または Secure Access Service Edge は、ネットワーキングとセキュリティに関するクラウド配信に関するものであり、ファイアウォール、SD-WAN、Secure Web Gateway、CASB、および ZTNA など、クラウドを介してあらゆるネットワーク上のあらゆる場所でユーザーを保護するために設計されたの多くのコンポーネントを含みます。  このように、ZTNA は SASE のコンポーネントであり、このセグメントに最初のオファーを提示し、全体的な SASE 戦略において重要な部分であります。

競合他社:

競合他社に関する質問は常に最優先事項です。  EAPを使用して既に始まっている包括的な競合分析を進展させ、まもなくその情報を共有する予定です。

著者について

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.