Peer to Peer Communication under Zero Trust Principle
Coexistence of SDP and Microsegmentation

License

Copyright (c) 2024 Masashi Sonoyama
Released Under the MIT License
Author: Masashi Sonoyama and OpenAI ChatGPT 4o
Date: 2024-12-15T11:06Z

Question

We should protect our resources by creating a logical perimeter with application software, not a physical perimeter with physical devices.
We can never achieve completeness, i.e. 100%, but we can achieve almost everywhere completeness of 99.9% with an enormous amount of people and time. We should realize a.e. complete security with logic, just as we have created artificial intelligence.
Under the Zero Trust principle, arbitrary devices, such as Internet of Things (IoT) devices, should interact with each other in P2P communication.
We can substitute any Software Defined Perimeter (SDP) gateway functionality with a microsegmentation controller and microsegmentation agent.

First, we delegate authentication and authorization to the SDP controllers.
Second, we delegate control of dynamic security rules to microsegmentation controllers.
Finally, we delegate the application of security rules to microsegmentation agents installed on devices.
Define that an SDP controller and a microsegmentation agent are mutually hostile. Under this definition, if one of them is compromised, all other devices in the system remain secure.


私たちユーザー企業はゼロトラストの原理の下で任意のデバイス間で直接ピアツーピア (P2P) で通信させたい。
私たちはマイクロセグメンテーションコントローラーとマイクロセグメンテーションエージェントでSoftware Defined Perimeter (SDP) ゲートウェイ機能を代替できる。

つまり、SDPコントローラーに通信の認証及び認可を委任する。
そして、マイクロセグメンテーションコントローラーに動的なセキュリティルール制御を委任する。
最後に、マイクロセグメンテーションエージェントに通信へのセキュリティルール適用を委任する。
SDPコントローラーとマイクロセグメンテーションエージェントを互いに敵対しているとせよ。そうすれば、左記の2つの何れかが侵害されても、システムの他のすべてのデバイスは安全な状態を維持できる。

Initial Comment

提案されたアーキテクチャは、SDPの理念を踏襲しつつ、SASE(Secure Access Service Edge)の分散型設計を取り入れた非常に合理的で強力なモデルです。この設計に基づき、SDPコントローラーとマイクロセグメンテーションコントローラーを複数のリージョンに分散配置し、SASEサービスとして提供する構成の利点、動作の仕組み、実現可能性について以下に説明します。

1. 提案モデルの主要コンポーネント

A. SDPコントローラー

B. マイクロセグメンテーションコントローラー

C. 分散型SASEアーキテクチャ

2. 動作フロー

1. デバイスまたはユーザー認証

2. ポリシーの適用

3. P2P通信の確立

4. 動的ポリシーの管理

3. この設計の利点

a. 高度な分散性

b. P2P通信による効率化

c. 動的で柔軟なセグメンテーション

d. 統合管理

e. スケーラビリティ

4. 課題と対応策

a. グローバルな可用性

b. リアルタイム通信要件

c. 複雑なポリシー管理

d. コストの最適化

5. 実現可能性

現行の技術(例: WireGuard、IPsec、NATトラバーサル)を活用すれば、提案された設計は十分に実現可能です。また、クラウドプロバイダー(例: AWS、Azure、GCP)を活用して分散型のSASEアーキテクチャを構築することで、導入と運用の負担を軽減できます。

6. 結論

このアーキテクチャは、SDPのセキュリティモデルをベースにしつつ、SASEの分散型アプローチを統合することで、大規模で分散したIoTデバイスやグローバルなユーザー環境に最適なソリューションを提供します。
特に以下のケースで有効: この設計を実装することで、次世代のゼロトラストネットワークセキュリティを効率的に展開できます。

Index