SDP 【Software-Defined Perimeter】
概要
SDP(Software-Defined Perimeter)とは、ネットワークの内部と外部の境界(perimeter)をソフトウェアによる制御で仮想的、動的に構成する技術。同じ物理ネットワーク上の機器であっても信用しない「ゼロトラスト」を実現する有力な方式の一つ。企業などの情報システムを外部の攻撃などから防御する基本的な方策として、従来はインターネット回線と構内ネットワーク(LAN)の境界にファイアウォールやアンチウイルスゲートウェイ、プロキシサーバなどのシステムを設置し、内外を行き来する通信を監視する境界防御が一般的だった。
しかし、近年では外部企業の運営するクラウドサービスの導入や、リモートやモバイルからの接続、私用端末の持ち込み利用(BYOD)などでネットワーク構成が複雑になり、また、マルウェア感染した内部の端末を遠隔操作する攻撃手法の浸透など、境界防御が適用しづらい状況が増えてきた。
SDPはこうした状況に対処する手法の一つで、接続を制御するSDPコントローラと、個々の接続点である端末やサーバ、クラウドサービスなどに導入したSDPホストを用いて、固定的な境界にこだわらず動的に通信制御を行う。
各ホストは別のホストへの接続をコントローラに申請し、認証を受ける。認証に成功し、管理者が設定した利用方針(ポリシー)に合致すれば、相手方への暗号化された仮想的な通信経路(トンネル)が確立され通信が可能となる。ホスト間で一連のやり取りが終了すると経路は消滅し、再度申請が必要となる。
ホストの認証には「シングルパケット認証」(SPA:Single Packet Authorization)という方式が用いられ、正当な権限を持つホストからの呼びかけ以外には一切応答しない仕組みとなっており、攻撃者による解析やなりすまし、DDoS攻撃を防ぎやすくなっている。
SDPは専用のネットワーク機器などが不要でソフトウェアのみで実装することができ、各種のクラウドサービスとの親和性も高い。アクセス権限や接続設定の管理、現在の接続状況の監視などもコントローラ上で一元的、集中的に行うことができる。一部の端末などが攻撃を受けても被害の拡大を防ぐゼロトラストの実装方式として注目を集めている。
共有ボタンをタップ