GCCHにアクセスするためにノートパソコンからVPN接続は必要ですか?推奨されますか?GCCHに接続するための最も安いVPNサービスは何ですか?OpenVPNは許容または準拠していますか?
ユーザーが参加している物理デバイスはあなたのCUI環境の一部ですか?
いいえ、M365サービスにアクセスする際はすでに暗号化されています。
“Microsoft 365では、データは静止時および転送中に暗号化されており、Transport Layer Security/Secure Sockets Layer (TLS/SSL)、Internet Protocol Security (IPSec)、拡張暗号標準 (AES)などの複数の強力な暗号化プロトコルと技術を使用しています。”
暗号化されている場合でもスコーピングの要素を忘れないでください… GCCHへの直接接続を行うと、エンドポイントのサブネットや周囲もスコープに入る可能性があります。ほとんどの場合、仮想デスクトップを使わずにエンドポイントがスコープ内になり、その周辺が重要になります。
現在はZTNAが一般的です。フルトンネルVPNの要件は今日では馬鹿げています。
常時接続VPNを企業のファイアウォールに設定することも可能ですが、なぜ?これはエンドポイントの管理が重要だからです。
ZScalerは政府やFedRAMP版でなければなりません。データは通過するためです。OpenVPNがあなた自身でホストし、FIPS検証されていれば動作しますが、サードパーティがホストしている場合はスコーピングとESP/CSPの含有を考慮する必要があります。
ありがとう…そう思っていましたが、誰かがそれが必要だと持ち出しました。4年前のRedditの投稿を見たところ、ほぼ同じことを尋ねていました。回答は変わっていないようです。
これはレベル2の要件を満たすのに十分ですか?この暗号化の主張も見ましたが、FIPS準拠ではないとも聞きました。Zscalerも勧められましたが、他の人が言ったように高価です。Global Secure Accessを代替案として検討していますが、有望に見えます。
この点については少し悩みました。GCCHに接続する専用のノートパソコンを用意する予定です。これらは普段使わないときはロックされた部屋に置いておき、稀にCUIにアクセスします。GCCHに接続する非専用ノートPCはブラウザのみでアクセスし、ダウンロードやコピー&ペーストを防ぎます。ブラウザベースのアプリを使用し、モバイル接続は不可です。その他は書面によるポリシーで管理します。これで監査に合格できると思いますか?
フルトンネルの要件はなく、スプリットトンネルだけ拒否します。VPNを必ず使う必要はありません。ゼロトラストはリスクを軽減します。
おすすめのZTNA製品はありますか?スコーピングにはFIPS準拠が必要ですか?
必要ありません。それを言っている人は混乱しているか、誤解されています。あるいは単に間違っています。
検索してみると、GCC/GCCH環境はサービスにFIPS認証された暗号化を使用しているようです。
編集:
“FIPS 140-2認定を受けたコンポーネントを含むMicrosoftのオンラインサービスには、Azure、Azure Government、Dynamics 365、Dynamics 365 Government、Office 365、Office 365 U.S. Government、およびOffice 365 U.S. Government Defenseなどがあります。”
監査に合格するかもしれませんが、そのCUIは実際にどうしますか? GCCHに接続するノートパソコンからのデータはどう使いますか?
そのノートパソコン以外は他のコンピューターと同じネットワークにありますか? もしそうなら、どのエンドポイントがそれらに到達できますか? それらのノートパソコンは印刷できますか? どのプリンターを使いますか?
システムはあなたが運用するプログラムにとって使いやすくなければなりません。使いにくいと、実際にそのシステムを使うユーザーは少なくなります。"
ブラウザで見ると、すでに遅くなり、そのデバイスはスコープ内になります。ブラウザは見ていないものを見ることはできません。ブラウザベースのアプリの使用はそれを変えません。処理はローカルマシンのブラウザ内で行われているからです。
GCC-Hにアクセスし、ローカルマシンをスコープ外に保つには、何らかのVDIを検討しています。そして、マシンをCUIへの直接接続からロックします。"},{