IPsec (インターネット プロトコル セキュリティ) と TLS (トランスポート層セキュリティ) はどちらも、デバイス間で転送中のデータを保護し、パブリックまたはプライベート インターネット上のネットワーク トラフィックを保護するために使用されます。どちらも暗号化、整合性チェック、相互認証、リプレイ保護、鍵交換などの暗号化メカニズムを備えています。ただし、これらは異なるネットワーク層で動作し、異なる強みとセキュリティ目標を念頭に置いています。
IPsec
IPsec は IP (インターネット プロトコル) ネットワーク層で動作し、
- ESP (カプセル化セキュリティ ペイロード) 用にIP プロトコル番号50
- AH (認証ヘッダー) セキュリティ プロトコル用にIP プロトコル番号51
が予約されています。AH は整合性チェックとデータ発信元認証を提供し、ESP は機密性、整合性チェック、および認証を提供します。IPsec は IPv4 と IPv6 の両方のプロトコル バージョンをサポートします。
最も基本的なレベルでは、IPsec はセキュリティ アソシエーション (SA) を共有する 送信元 および 送り先IP アドレスのペア間のトラフィックを保護します。たとえば、アリスとボブが ip xfrm を使用して、ESP rfc4106(gcm(aes)) を持つ Linux コンピューター間で共有 SA をプロビジョニングすると、2 台のコンピューター間のすべての IP トラフィックは、TCP または UDP、あるいはより高レベルのアプリケーション プロトコルのいずれを伝送しているかに関係なく、認証された暗号化で保護されます。このように、IPsec は大規模な組織やプライベート ネットワークの構築に役立つ包括的なセキュリティ保証を提供します。さらに、最新の TLS をサポートしないレガシー アプリケーションも保護できます。
IPsec の欠点は、設定と保守が複雑になる可能性があることと、組み込みスペースではネットワーク スタックが IPsec をまったくサポートしていない可能性があることです。
TLS
対照的に、TLS は基盤となるトランスポート メカニズムに依存せず、特定のネットワーク抽象化レイヤーに縛られません。最も一般的な使用例は TCP (TLS) と UDP (DTLS) ですが、TLS は組み込みデバイスで UART や I2C 経由でも実装できます。したがって、TLS はその名の通り、アプリケーション層のコミュニケーションのセキュリティを実現するものです。たとえば、Web ブラウザーと電子メール サーバーの間、または現場のリモート センサーとデータを収集するハブの間で転送中のデータを保護します。
TLS の価値は、個別化され、柔軟性があることです。TLS のユーザーは、信頼できないネットワーク上でも通信が保護されていることを知ることができます。さらに、TLS は、オペレーティング システムがなく、最小限のネットワーク スタックしかないベア メタル デバイスでも使用できます。最後に、TLS はパブリック インターネット通信の大部分の真の標準です。そのため、TLS は利用可能なセキュリティ プロトコルの中で最も広くテストされています。
IPsec と TLS、およびゼロトラスト
簡単に言うと、TLS と IPsec は、同じ問題を解決するための 2 つの異なるモデルであり、それぞれに長所とトレードオフがあります。現場でサーバーに接続するデバイスを保護する必要がある場合は、TLS の方が適している可能性があります。大規模な安全なネットワークを構築する必要がある場合、またはネットワーク間に安全なトンネルを作成する必要がある場合は、IPsec の方が適している可能性があります。
両方の側面を組み合わせたユースケース(リモート ワーカーのデバイスが企業の VPN に接続する)の場合、おそらく TLS とIPsec の両方が必要になります。現実には、現代のネットワークはますます異種かつ分散化しており、ゼロ トラスト態勢におけるセキュリティの補完層には IPsec と TLS の両方が必要になります。したがって、IPsec と TLS は、対立するセキュリティ モデルではなく相乗的なセキュリティ モデルとして考える必要があります。
ご質問がございましたら、info@wolfssl.jp までお問い合わせください。
原文:https://www.wolfssl.com/ipsec-vs-tls-what-are-the-differences/