今回は、ゼロトラストネットワークの実装の一つであるBeyondGorpについて解説します。
BeyondCorpとは?
BeyondCorpは、Googleが提唱する企業セキュリティに対する新しいアプローチで、従来のアクセス制御(=境界モデル)の境界を個々のユーザ、対象デバイスごとにアクセス制御を行うように変更し、VPNを介さなくても従業員、契約業者などのユーザがどこからでも安全にアクセスできるようにする仕組みのことです。
Google自身は、2011年〜現在まで、Google の全従業員が VPN を使用せずに、信頼できないネットワークを介して問題なく働けるようにすることを目指し、かつ運用してきたという実績があるそうです。Google自身も閉域から移行する際、安全性を確認しながら移行した。
・VPNを利用せず、すべてのネットワークを検証する。
・VPNを利用できない企業への設置を推奨している。
・Googleも閉域から移行する際、安全性を確認しながら移行した。
・BeyondCorpはGoogleが提唱するゼロトラストの概念。
・IAP(他要素認証のあるリバースプロキシ)が中核となり、GsuiteやGCP上のWebアプリケーション、API+VPN/GCIを介してオンプレのWEbアプリケーションと接続が可能。
GCPで根幹となるサービス
IAP(認証付きプロキシ)が中核になり、ロードバランサー、GAE等のサービス境界との間にこのプロキシをおくことで、個々の認証を行って、Gsuite、GCP上のWebアプリケーション、オンプレのwebアプリケーション、他クラウドのwebアプリケーションと接続を可能としています。
