ネットワークセキュリティ–アクセス制御
ネットワークアクセス制御は、組織のセキュリティポリシーに準拠するエンドポイントデバイスへのネットワークリソースの可用性を制限することにより、プライベート組織ネットワークのセキュリティを強化する方法です。一般的なネットワークアクセス制御スキームは、制限付きアクセスやネットワーク境界保護などの2つの主要なコンポーネントで構成されています。
ネットワークデバイスへの制限付きアクセスは、ネットワークシステムに対するさまざまなユーザーの識別と認証を担当するユーザー認証と承認制御によって実現されます。承認は、保護されたリソースへの特定のアクセス許可を付与または拒否するプロセスです。
Network Boundary Protectionネットワークに出入りする論理接続を制御します。たとえば、ネットワークシステムへの不正アクセスを防ぐために、複数のファイアウォールを展開できます。また、侵入検知および防止テクノロジーを導入して、インターネットからの攻撃を防ぐことができます。
この章では、ネットワークアクセスのユーザー識別と認証の方法に続いて、さまざまなタイプのファイアウォールと侵入検知システムについて説明します。
ネットワークデバイスへのアクセスの保護
ネットワーク上のデバイスへのアクセスを制限することは、ネットワークを保護するための非常に重要なステップです。ネットワークデバイスは通信とコンピューティング機器で構成されているため、これらを危険にさらすと、ネットワーク全体とそのリソースがダウンする可能性があります。
逆説的ですが、多くの組織はサーバーとアプリケーションに優れたセキュリティを確保していますが、通信ネットワークデバイスには基本的なセキュリティを残しています。
ネットワークデバイスのセキュリティの重要な側面は、アクセス制御と承認です。これら2つの要件に対応し、ネットワークセキュリティをより高いレベルに強化するために、多くのプロトコルが開発されています。
ユーザー認証と承認
ネットワークシステム、特にネットワークインフラストラクチャデバイスへのアクセスを制御するには、ユーザー認証が必要です。認証には、一般的なアクセス認証と機能認証の2つの側面があります。
一般アクセス認証は、特定のユーザーが接続しようとしているシステムへの「任意の」タイプのアクセス権を持っているかどうかを制御する方法です。通常、この種のアクセスは、そのシステムの「アカウント」を持つユーザーに関連付けられています。承認は、個々のユーザーの「権利」を扱います。たとえば、認証後にユーザーが何ができるかを決定します。ユーザーは、デバイスを構成するか、データのみを表示することを許可されている場合があります。
ユーザー認証は、彼が知っていること(パスワード)、持っていること(暗号トークン)、または彼が知っていること(生体認証)などの要因によって異なります。識別と認証に複数の要素を使用することで、多要素認証の基礎が提供されます。
パスワードベースの認証
少なくとも、すべてのネットワークデバイスはユーザー名とパスワードの認証を持っている必要があります。パスワードは重要です(少なくとも10文字、アルファベット、数字、記号が混在しています)。
ユーザーによるリモートアクセスの場合は、ユーザー名とパスワードがネットワークを介して平文で渡されないようにする方法を使用する必要があります。また、パスワードもある程度の頻度で変更する必要があります。
一元化された認証方法
個々のデバイスベースの認証システムは、基本的なアクセス制御手段を提供します。ただし、ネットワークに多数のデバイスがあり、多数のユーザーがこれらのデバイスにアクセスしている場合、集中認証方式の方が効果的かつ効率的であると見なされます。
従来、リモートネットワークアクセスで直面する問題を解決するために集中認証が使用されていました。リモートアクセスシステム(RAS)では、ネットワークデバイス上のユーザーの管理は実用的ではありません。すべてのユーザー情報をすべてのデバイスに配置し、その情報を最新の状態に保つことは、管理上の悪夢です。
RADIUSやKerberosなどの一元化された認証システムがこの問題を解決します。これらの一元化された方法により、ユーザー情報を1か所に保存および管理できます。これらのシステムは通常、MicrosoftのActiveDirectoryやLDAPディレクトリなどの他のユーザーアカウント管理スキームとシームレスに統合できます。ほとんどのRADIUSサーバーは、通常のRADIUSプロトコルで他のネットワークデバイスと通信し、ディレクトリに保存されているアカウント情報に安全にアクセスできます。
たとえば、Microsoftのインターネット認証サーバー(IAS)は、RADIUSとActive Directoryをブリッジして、デバイスのユーザーに一元化された認証を提供します。また、ユーザーアカウント情報がMicrosoftドメインアカウントと統合されていることを確認します。上の図は、ネットワーク要素がActiveDirectoryドメインに対して認証するためにActiveDirectoryサーバーとRADIUSサーバーの両方として動作するWindowsドメインコントローラーを示しています。
アクセス制御リスト
多くのネットワークデバイスは、アクセスリストを使用して構成できます。これらのリストは、デバイスへのアクセスが許可されているホスト名またはIPアドレスを定義します。たとえば、ネットワーク管理者を除いて、IPからネットワーク機器へのアクセスを制限するのが一般的です。
これにより、許可されていない可能性のあるあらゆるタイプのアクセスから保護されます。これらのタイプのアクセスリストは重要な最後の防御として機能し、さまざまなアクセスプロトコルに対してさまざまなルールを持つ一部のデバイスで非常に強力になる可能性があります。