ディレクトリ サービスの未来はドメインレスです

公開: 2020-05-05

セキュリティ、デバイス管理、およびアクセス制御に対する基本的なアプローチは変化しています。

30 年近くの間、これらの中核となる IT の優先事項は、オンプレミス ドメインの時代に優れたソリューションであった Active Directory と OpenLDAP と切り離すことはできませんでした。 しかし、最近のリモート ワークへの移行により、クラウド内の組織のユーザー ID と機密データを保護するには、従来の境界セキュリティとオンプレミス インフラストラクチャではもはや不十分であることが明らかになりました。

現代の作業環境をより適切に管理するには、ディレクトリ サービスの個々の機能を再考し、それらの機能を、配線された城と堀のドメインの時代遅れの概念から分離する必要があります。 今日最も重要なことは、世界中のどこにいてもユーザーとデバイスを保護することです。

したがって、ディレクトリ サービスの未来はドメインレスです。 ここでは、私たちがどのようにしてここに到達したか、ドメインレス エンタープライズが実際にどのように見えるか、および組織が IAM インフラストラクチャをモダナイズするために実行できる手順について詳しく説明します。

ディレクトリ サービスとドメインの概念の再考

私たちが知っているドメインの概念は、基本的に 1990 年代に設計されたものであり、当時のハードワイヤード オフィス環境における安全なユーザーおよびコンピューター ガバナンスのための優れたソリューションでした。 それ以来、IT の他のほとんどの領域は完全に変化しましたが、このモデルは、今日でもほとんどの組織の ID およびアクセス管理へのアプローチを支えています。

多くの IT プロフェッショナルは、ドメインを当然のことと考えており、次の論理的なステップは、Web アプリケーション シングル サインオン (SSO) プロバイダーやその他の ID ブリッジを追加して、クラウド時代に適応させて拡張することだと考えています。 しかし、より実用的なアプローチは、ドメインが最初に解決するように設計された中心的な問題を振り返り、それらの問題のどれが今日でも関連しているかを判断し、最新のイノベーションを使用してそれらを解決する新しい方法を模索することかもしれません.

1990 年代半ばから 2000 年代半ばまで、オフィス環境は大きく異なっていました。 労働者は、キーカードまたは実際の鍵を使用して、実店舗の施設に入りました。 彼らは自分のデスクに近づき、据え置き型のコンピューターの前に座りました。 これらのコンピューターは、イーサネット ケーブルを介して、物理的なオフィス内の内部データ センターまたはサーバー クローゼットにつながれていました。 その中央の場所から、ドメイン コントローラーはローカル ネットワーク内の IT リソースへのアクセスを許可しました。 その物理ネットワークは、ファイアウォールと物理アクセス用の建物自体によって、外部からの攻撃から保護されていました。

当時、このセットアップは本質的に安全で管理が簡単で、シームレスなユーザー エクスペリエンスを提供したため、ユーザーは複数のパスワードを管理したり、バックグラウンドで行われている承認と認証のプロセスについて考えたりする必要がありませんでした。 環境は均質で、すべてのワークステーションで Windows および Microsoft プログラムを実行するデスクトップ タワーがありました。 Active Directory (AD) はこのタイプの環境に非常に適していたため、おそらく最初のシングル サインオン (SSO) エクスペリエンスをユーザーに提供することができました。単一のシステム ログイン。

さて、現在に早送りして、その建物の壁をすべて取り壊してください。 IT は、クラウド テクノロジーと広く利用可能な高速ワイヤレス インターネットによって可能になった、オフィスの外での柔軟性に向かう傾向にありました。 タワーとチューブ モニターを備えた固定コンピューターの代わりに、従業員はラップトップやその他のデバイスを使用して、ほとんどどこにでも持ち運べ、インターネットに接続して仕事を開始できるようになりました。 それがドメインレス エンタープライズであり、それが現在の現実です。

男wf

しかし、非常に多くの作業がドメイン外で行われる世界では、IT 部門は、かつて Active Directory が単独で処理していた課題を再評価することを余儀なくされています。

ドメイン モデルの現代的な欠点

Active Directory は、最新のクラウド リソースや Windows 以外のオペレーティング システムに適応して統合するのに苦労しており、それが対象として設計された境界セキュリティ モデルは、リモート ワーカーを保護するのに十分ではありません。

そこで問題は、かつて AD によって提供された一元化された管理ワークフローとシンプルで安全なユーザー エクスペリエンスを、Mac と Linux システム、Web アプリ、クラウド サーバー、リモート ネットワーク含む最新の環境に変換する方法です。 -Prem インフラストラクチャも同様です。 ユーザーは、どこで作業していても摩擦を最小限に抑えて IT リソースに接続する必要があり、IT 管理者は、ユーザー ID と独自のデータが攻撃から保護されていることを確信する必要があります。

問題は、IT が、従来の AD ドメイン環境で持っていたであろう最新のユーザー ID に対する制御レベルにほとんど達していないことです。 アプリケーションは、一度購入すればローカルにインストールする従来のアーキテクチャから、クラウドベースのサブスクリプション モデルに移行しました。 一部のアプリは引き続きローカルにインストールされ、ID と構成は Web ブラウザーを介してクラウドで処理されます。

自分自身の ID を管理することを余儀なくされたユーザーは、何百とは言わないまでも何十ものパスワードを使用することになり、セキュリティ ガイドラインを無視して脆弱なパスワードを共有または再利用する誘惑に直面します。

また、ユーザーは、IT 部門の承認や規制なしに、適切と思われる新しいアプリケーション用に独自のアカウントを作成したくなるかもしれません。 このシャドー IT は、組織に不必要なセキュリティ リスクをもたらします。 また、IT によって管理されているID でさえ、独自のサイロに存在し、個別の ID ごとに独自の手動プロビジョニングおよびプロビジョニング解除プロセスが必要になる場合があります。

往年の AD ID に類似した単一の中心的な ID はありません。 管理者は、接続を保護し、すべてを IT の権限下で安全に保ち、セキュリティとコンプライアンスの基準を満たし、リモート作業用にデバイスを準備するための新しい方法を必要としています。

システムに関しては、MacBook と Linux システムが一般的になっています。 ベテランの Microsoft 管理者は、職場への Mac システムの導入にかつて抵抗していましたが、現在では、これらのシステムに対応することが標準的な慣行となっています。 従来の Active Directory ドメインでは、Mac と Linux のシステム管理は、システム管理ツールや MDM などの AD 以外のポイント ソリューションを追加しないと、それほど正確でも安全でもありません。

コンピューターに座っている人々


OpenLDAP を中心に構築されたドメイン環境は、それほど公平ではありません。LDAP ドメインとサーバーは、主に ID、パスワード、グループ、および組織単位を管理しますが、多くの場合、システム管理、セキュリティ ポリシーの実施、およびクラウド アプリの統合機能が不足しています。 IT リソースは、選択した認証プロトコルとして LDAP を使用するだけでなく、SAML、SCIM、OAuth、OIDC などの最新の標準を活用するようになりました。 従来の LDAP 環境では、構成と保守に高度な専門知識も必要です。

IT 監視における上記のギャップを埋める論理的な方法は、最新のドメインレス アーキテクチャを実装することです。

ドメインレスとは、実際には何を意味するのでしょうか?

経験豊富な管理者にとって、ドメインレス化の可能性は少し怖いかもしれませんが、適切に構成されたドメインレス環境は、今日の IT ランドスケープにおける従来のドメイン設定よりもはるかに安全です。 ドメインレス環境では、組織のセキュリティ体制は、個々のユーザー、Mac、Windows、または Linux システム、およびそれらのコンポーネントがどこにあるかに関係なく、ユーザーがアクセスする必要のあるリソースを包み込みます。

各 IT リソースには、独自の狭い境界があります。 これは、一度認証された後、強化されたより大きな境界の範囲内で本質的に保護されていない状態で機能するのではなく、ID とアクセス権が常にチェックおよび検証されることを意味します。 ユーザーは、認証のためにドメインを介してルーティングするのではなく、標準のインターネット接続を介してリソースに直接アクセスします。 また、ドメイン コントローラーの代わりに、クラウド ディレクトリ サービスがアクセス管理、ユーザー認証、およびセキュリティの実施を処理します。

ドメインレス エンタープライズを実際に実現可能にするのは、このクラウド ディレクトリ サービスの概念です。 しかし、IT の他の多くの側面が効果的にクラウドに移行されたとしても、多くの管理者は、クラウドにすべてのディレクトリ サービスを実装することについて留保しています。

ほとんどの場合、それは、ディレクトリ サービス自体の概念が Active Directory と密接に結びついているためです。既存のツールは、かつて解決した個々の問題の代わりになっています。 また、ドメインのセキュリティ面はより直感的です。ファイアウォールとドア ロックはおなじみのものであり、制御の感覚を与えてくれます。 ドメインを手放すということは、攻撃にさらされる可能性が高まり、セキュリティに対する制御が低下することを意味することは論理的に思えます。

しかし、実際には、ファイアウォール、ネットワーク検出、エンドポイントの検出と対応などの対策を講じていても、組織は依然として侵害を受けています。 新しい攻撃が成功するたびにニュース サイクルが繰り返されると、IT コミュニティは、セキュリティに対する同じアプローチのより優れた、より強力なバージョンを適用する方法に再び焦点を合わせます。 明らかに、物事を行う古い方法は機能していません。 根本的に新しいクラウド中心のアプローチの時が来ました。

クラウド ディレクトリ サービスのコア機能

クラウド ディレクトリ サービスというフレーズは、IAM のカテゴリに大まかに当てはまるさまざまなソリューションを表すために使用されますが、ベンダーごとにこのフレーズが実際に何を意味するのかを特定するのは困難です。

異なるクラウド ディレクトリ ソリューションが同等の機能を提供することはめったになく、組織のコア ID プロバイダーとして AD の元のシステム ガバナンス、認証、およびアクセス制御機能の全範囲を複製するものはほとんどありません。 しかし、それこそが、最新のドメインレス アーキテクチャをサポートし、セキュリティで保護するために、クラウド ディレクトリ サービスが行う必要があることです。

クラウド ディレクトリ サービス

実際、価値のあるクラウド ディレクトリ サービスは、AD の当初の範囲を超えて、サード パーティ製アプリケーションと Windows 以外のオペレーティング システムへのアクセスをすべて 1 つのプラットフォームから管理する必要があります。

この違いは、真のクラウド ディレクトリ サービスと Web アプリ SSO プラットフォームを比較する際に重要です。Web アプリ SSO プラットフォームは、ユーザーに SaaS アプリケーションにアクセスするための 1 つの ID を提供しますが、デバイス アクセス、セキュリティ ベースラインを管理したり、レガシーまたはオンプレミスに対してユーザーを認証したりできない場合があります。優先する authN プロトコルを使用するリソース。 この意味で、SAML ベースの SSO はクラウド ディレクトリ サービスの 1 つのコンポーネントにすぎません。 用語は互換性がありません。

クラウドで確立された AD ドメイン モデルの 1 対 1 の変換を作成する代わりに、適切なクラウド ディレクトリ サービスは、AD の機能をコンポーネント部分に分解し、それらの各部分を再考します。 個々の問題を、私たちが当然と思っている解決策から切り離すことができれば、それらを解決する新しい方法にたどり着くことができます。

次のコア機能は、ドメインレス エンタープライズ向けに構築されたクラウド ディレクトリ サービスに不可欠です。

  • ベンダーに関係なく、オンプレミスとクラウドの両方で、デバイス、アプリケーション、WiFi/VPN、サーバー、および開発インフラストラクチャにアクセスするための単一の安全なユーザー ID
  • G Suite、Office 365、AWS、AD/Azure、人事/給与システムなどの他のサービスからのユーザー ID を統合および統合する機能
  • 自動化されたユーザー プロビジョニングおよびプロビジョニング解除機能
  • Mac、Windows、および Linux システムに対する GPO のようなポリシー制御と、システムのステータスと属性に関する詳細なレポートによるリモート システム管理
  • Mac、Windows、および Linux システムへのログイン時の多要素認証 (MFA)、およびその他のほぼすべての IT リソースへのアクセス、および SSH キー管理機能
  • スクリプト、API、または PowerShell による柔軟で自動化された管理
  • 監査とコンプライアンスのニーズをサポートするための詳細なデータとイベントのログ記録

多くのセキュリティ障害は、上記のコンポーネントのいずれかが完全に欠如していることではなく、組織全体でそれらを均一に適用、実施、および更新できないことに起因しています。 それを念頭に置くと、集中型のクラウド ディレクトリ サービスの価値が明らかになります。

ドメインレス化の鍵: デバイスの信頼と MFA

多くのクラウド IAM ソリューションは完全にブラウザー ベースですが、最新のドメインレス セキュリティの鍵であるデバイスが欠けています。 ゲートウェイがラップトップ、タブレット、またはスマートフォンのいずれであるかに関係なく、ユーザーは仕事への物理的なゲートウェイを引き続き必要とします。 ドメインレス環境を保護するために必要な絶え間ない検証の多くは、デバイスの信頼と考えることができるフレームワークを使用して、デバイスで処理する必要があります。

ユーザーは、パスワードまたはパスワードなしの資格情報と MFA の組み合わせを使用してデバイスに 1 回ログインすると、すべての IT リソースに安全にアクセスできるようになります。 すべてのトランザクションは原子レベルで保護および暗号化されるため、標準のインターネット接続を介して安全に作業を行うことができます。

ユーザー エクスペリエンスは、1990 年代後半から 2000 年代前半の AD ドメインのデスクトップ マシンにログインする SSO エクスペリエンスに似ていますが、舞台裏で行われていることははるかに複雑であり、アクセス可能な IT リソースの幅が広くなっています。はるかに大きい。

マファ

クラウド ディレクトリ サービスがデバイスとの信頼関係を確立するには、いくつかの基準を満たし、常に再確認する必要があります。 これらの基準は、次のことを確認することに単純化されます。

  • 適切なユーザーがデバイスにアクセスしており、そのユーザーは本人であると主張しています
  • 適切なデバイスがアクセスを要求しています
  • アクセスは正しい場所から要求されています
  • 特定のリソース内のユーザー/デバイスに適切な権限が適用されている

ここで、MFA の概念が、TOTP トークンや WebAuthn セキュリティ キーなどのユーザー向けの手段を超えて拡張されます。 上記の要件は、デバイスとクラウド ディレクトリ サービスの間で確認でき、攻撃者が一緒に複製することは実質的に不可能な 3 番目、4 番目、5 番目、およびそれ以上の認証要素を確立します。

ネットワークを侵害するという考えは、この多要素認証の繰り返しによって根本的に変わりました。1 回の初期認証の後、開いているセッション中に通過する安全でない領域はなくなりました。 これは、ドメインレス モデルでは、セキュリティとアクセス制御がネットワーク レベルだけでなく、各レベルで効果的に行われるためです。 データとアプリケーションにアクセスできるのは、適切なマシンを使用し、適切な権限を持つ適切な場所からアクセスする適切な人だけです。

クラウド ディレクトリ サービスは、GPO のようなシステム ガバナンス、最小特権の原則に基づいて構築されたソフトウェア、転送中および保存中のすべてのデータの暗号化を組み合わせることで、デバイスの信頼を確立します。 このアプローチについて考える別の方法は、ゼロトラスト セキュリティのコンテキスト内にあります。

実際のゼロトラスト セキュリティ

ゼロトラスト セキュリティとは、認証を行うディレクトリ サービスが、ユーザー、デバイス、アプリケーション、またはその他の IT リソースの正当性を決して認めないことを意味します。 これは、従業員、システム、アプリケーション、およびネットワークの 4 つの領域を保護することによって実現されます。

従業員

パスワード (ユーザーが知っているもの) と MFA トークン (ユーザーが持っているもの) をディレクトリ データベースに対して確認することで、本人であることを確認するシステムが用意されています。ディレクトリ データベースは信頼できる情報源として機能します。

システム

検証済みの人物が IT リソースにアクセスするために使用しているシステム (おそらく企業が発行したマシン) はクリーンである必要があり、その人物はそのマシンに正当にアクセスできる必要があります。 実際には、これは、マシンが認識され、ポリシーと設定がセキュリティ標準を適用し、ユーザーが本人であることを確実にするための何らかのメカニズムを意味します。 セキュリティソフトのチェックとアップデートを行っています。 システム テレメトリは、マシン自体が侵害されていないことを確実に可視化するのに役立ちます。

アプリケーション

信頼できるシステム上で、適切な人だけがアプリケーションにアクセスすることが重要です。 上記の論理的な拡張は、ユーザーとマシンがアプリとアプリが存在するネットワークに対する権利を持っていることを確認し、そのネットワークのセキュリティを確認することです。 これは、アプリケーションまたはリソースへの安全なトンネルとして、VPN がドメインレス エンタープライズで依然として重要な役割を果たす場合がある場所です。

通信網

ユーザーが接続しているネットワークは可能な限り安全である必要がありますが、完全に安全でなくても、ユーザーは VPN を使用してそのネットワーク内に安全なエンクレーブを作成できます。 さらに、ネットワークは、MFA や VLAN セグメンテーションなどの追加手段によって保護できます。

ドメインレス アーキテクチャの実装に向けた最初のステップ

クラウド ディレクトリ サービスとゼロトラスト セキュリティによって実現されるドメインレス アーキテクチャというこのアイデアは、純粋に哲学的なものでも、将来への遠い願望でもありません。既存のインフラストラクチャに適した段階的なアプローチで。

機能している AD ドメインに深く投資している組織の場合、クラウド ディレクトリ サービスは AD インスタンスを包み込み、ドメインレス モデルの多くの利点を提供し、オールクラウド モデルへの足がかりとして機能します。

強力なクラウド ディレクトリ サービスは、コア ID プロバイダーとして自立できるため、100% ドメインレスに移行する準備ができていない組織でも、移行が理にかなっている場合に AD からシームレスに移行するオプションを利用できるようになります。

詳しく知りたい場合は、G2 のクラウド ディレクトリ サービスに関する情報を調べてください。