ゼロトラストモデルを実現するための機能としては、データ保護、ユーザー管理、デバイス管理、ネットワーク保護・制御、ワークロード制御、可視化と分析、自動化とオーケストレーションなどが挙げられます。これらの機能を実装する主要なネットワークセキュリティソリューションとして注目されているのが、SDP(Software Defined Perimeters)です。
SDPアーキチェクチャ(出典:Software Defined Perimeter(SDP)and Zero Trust)
SDPは、ネットワークを経由した様々な脅威からアプリケーションインフラや情報資産を守るための機能で、境界線(Perimeter)をソフトウェアで集中的に制御し、アクセス制御に関わる設定を動的に変更して安全にデータを転送する技術です。ユーザーおよびデバイス認証後、リスクや信頼性の評価が行われ(上図の1~4)、信頼性が確認されて初めて、アプリケーションへの通信が暗号化通信により可能になります(5~7)。信頼確立後も動作を監視し、行動が期待から逸脱している場合、機能へのアクセスを遮断します。
SDPは、多要素認証等を活用したデバイスの認証、ポリシーに応じたアクセス制御、ネットワークのセグメンテーション、ログ収集・管理などの機能を“Software Definedな形”、すなわち“ソフトウェアにより自動化・動的制御された形”で提供することになります。
さらに、PKI、 TLS、IPsec、SAML などの標準技術を利用し、フェデレーション、デバイス認証、地域認証などの複数の標準化された認証の仕組みを合わせて構築することで、技術進歩に応じて機能部品を更新してセキュリティ機能を高められることも特徴です。