Cloud Identity Engineでシンプルに実現するIDベースセキュリティ

This post is also available in: English (英語)

リモートワーク、モバイルワーク、ハイブリッドワークなど、新しい生活様式に合わせて生産性を守るには、ネットワークセキュリティへの包括的なゼロトラストアプローチが欠かせません。そしてゼロトラストネットワークセキュリティを実現するには、支社やデータセンタ、パブリッククラウド、リモートワーカーなど、分散するユーザーを容易にかつ一貫して保護する必要があります。その障害となるのが、さまざまなIDストアにIDが分散している状態です。たとえばオンプレミスのActive Directory、クラウドのOkta、そしてクラウドのAzure ADにIDが分散しているとき、どうすればユーザーを一貫して識別できるのでしょうか。

ESGレポート「Trends in IAM: Cloud-driven Identities」(2020年12月号) によれば、87%の組織が今後24ヶ月以内にクラウドベースのIDソースに移行済みか、移行を予定しているそうです。言い換えるなら、「今日の企業がユーザーを一貫して認証し、つねにIDベースのセキュリティをエンフォースするのはとてもむずかしい」ということです。

こうしたニーズに応えるため、パロアルトネットワークスはIDベース セキュリティのためのまったく新しいクラウドベースアーキテクチャ、Cloud Identity Engineを導入することにしました。この機能により、ゼロトラストの導入はとてもやさしくなります。Cloud Identity Engineがあれば、オンプレミス、クラウド、そのハイブリッドなど、ユーザーIDがどこに存在していても、一貫してユーザーを認証・認可できるようになります。また、ユーザーがどこにいても、アプリケーションやデータに安全にアクセスできるようになります。

既存のソリューションは「オンプレミスのIDストアだけ」または「クラウドIDストアだけ」を想定して設計されています。このような設計でインフラ全体のセキュリティに一貫性を保つことはできません。しかも、既存のソリューションはIDストアやIDストアの変更を手でファイアウォールに追加するなどの管理も必要です。オンプレミスからクラウドなどのIDソースへの移行には、数ヶ月、ときには数年かかってしまうこともあります。

これが新しいCloud Identity EngineであればIDストアの設定は1度ですみます。大規模な企業が新しいIDソースを追加する場合でも、数分もすれば設定が完了して使えるようになります。Cloud Identity Engineは、物理・仮想・クラウド型など、どんなフォームファクタのファイアウォールででも利用でき、ユーザーやグループ、認証データの同期を一本化することができ、組織はどんな場所からでもアプリケーションに安全にアクセスできるようになります。

パロアルトネットワークスのCloud Identity Engine
データセンタの全アプリケーションで多要素認証がすぐ利用可能に

PAN-OS 8.1で私たちはファイアウォールとPingやOktaなどの既存のMFAプロバイダとの統合機能を使い、ネットワークレイヤでデータセンタアプリケーションの多要素認証(MFA)を実現する機能を導入しました。

そしていま、PAN-OS 10.1に搭載したCloud Identity Engineにより、組織はデータセンタのすべてのアプリケーションでクラウドIDプロバイダのMFAをすぐ使えるようになりました。

企業のクラウドジャーニーのかたちはさまざまですが、ゴールに至るには誰もがクラウドベースアーキテクチャという道を必要とします。パロアルトネットワークスのCloud Identity Engineは、ゼロトラスト実現に向けたIDベースセキュリティと、さまざまな場所で働くユーザーに対するIDエンフォース、この2点で、クラウドジャーニーの道を切り開きます。

ゼロトラストのためのIDベースセキュリティについて詳しく学び、どこにいても生産的に働く準備をするには、ご登録の上イベントシリーズ「Complete Zero Trust Network Security(英語)」をご覧ください。