クラウドセキュリティ:Illumioで誤った仮定を保証に変える

私たちの 以前のブログ投稿、クラウドセキュリティが不十分であることによるリスクを無視することがなぜ間違いだったのかを大まかに説明しました。そして、多くの組織がビジネスをサポートするためにクラウドサービスを採用する際に陥る 2 つの誤った仮定を紹介しました。

この投稿では、さらに3つの前提条件と、その力を簡単に活用する方法を検討します。 イルミオクラウドセキュア クラウドネイティブの可視性と制御が向上します。

前提条件 #3: クラウドサービスはインターネットから分離されています。

顧客が投資を最大限に活用できるように、クラウドベンダーはサービスとしてのインフラストラクチャ (IaaS) とサービスとしてのプラットフォーム (PaaS) のインフラストラクチャリソースを提供しています。これらには、仮想マシン、コンテナ、サーバーレス機能、マネージドクラウドデータベースなどが含まれます。

しかし、これら クラウドサービス 多くの場合、デフォルトでインターネットに公開できます。そのため、侵害の可能性がある場合の入り口になることがあります。アクセスを制限することは、クラウドプロバイダーではなく、お客様の責任です。クラウドはデフォルトで「最低限の権限」ではないことを覚えておいてください。その代わり、「超過特権」に基づいて動作します。つまり、どのリソースが相互に通信でき、それ以外はすべてブロックできるかを判断する必要があります。

どのアプリケーションがクラウドにあり、何がそれらと通信しているのかを可視化できなければ、適切な制御なしに重要なリソースをクラウドでホストしてしまう可能性があります。これは、パブリッククラウドにデータセンターの内部リソースにさらされているワークロードやプロセス機能がある場合に特に危険です。

確実に良い結果を得るために クラウドセキュリティ、クラウドとオンプレミスのワークロード間の通信パスを理解する必要があります。データセンターの場合と同様に、インターネットに接続されているものを正確に把握する必要があります。そして、これらの接続がハッカーやマルウェアがネットワークに侵入する経路にならないようにする必要があります。

前提条件 #4: クラウドサービスのスケーリングに制限はありません。

セキュリティの観点から見ると、AWSやMicrosoft Azureなどのパブリッククラウドでは、セキュリティを管理するために作成できるセグメントの数が制限されます。そのため、クラウドアプリケーションとデータをきめ細かく制御することができません。

セグメンテーションに対するクラウドプロバイダーの答えは、仮想ネットワークセグメントです。Amazonの場合は仮想プライベートクラウド（VPC）、Microsoftの場合はAzure仮想ネットワーク（VNet）です。このような環境では、セキュリティグループがセグメントの内部と外部に境界を作成します。

ただし、仮想ネットワークセグメントに存在できるセキュリティグループの数は限られています。制限を超える数が必要な場合は、1 つのセグメントで複数のホストを使用する必要があります。ただし、効率的にスケーリングするには、各セグメントにホストを 1 つだけ配置する必要があります。

1つのセグメントに複数のホストが存在すると、管理がより複雑になり、セキュリティリスクが高まります。あるホストが侵害された場合、そのホストが別のホストと通信する (そして感染する可能性もある) のは避けたいものです。規模を拡大するには、クラウドプロバイダーが提供しているアクセスのセグメント化以外にも、追加の支援が必要です。そうしないと、組織が従来のデータセンターのセグメンテーションで直面していたのと同じ問題に直面することになります。つまり、可視性が低く、ポリシー管理が複雑で、ネットワーク構成とファイアウォールを手動で「再配線」する必要があるということです。

前提条件 #5: ワークロードを確保すれば、作業は完了です。

人々が考えるとき ワークロードセキュリティ、多くの人が自分のワークロードが一か所にとどまると誤って思い込んでいます。しかし、クラウドでは、ワークロードは複数のパブリッククラウド間で移動でき、それぞれに独自のポリシーモデルがあります。その場合、セキュリティセグメントが同じセキュリティコントロールを共有することはまずありません。仮にそうした場合でも、セキュリティチームは常にこの動きを監視して、ワークロードが適切なポリシーによって保護されていることを確認する必要があります。

クラウド内のコンピューティングリソース、サーバーレスリソース、オブジェクトはすべて動的です。これらのリソースやクラウドオブジェクトが移動すると、それらの IP も変化します。パブリッククラウド内のどこに配置されているかが変わる可能性があります。また、複数のクラウドプロバイダー間を移動することもできます。彼らは「死んで」新しいIPアドレスで生き返ることさえあるかもしれません。

その結果、従来のアプローチを使用してポリシーを記述することはできなくなります。代わりに、クラウドワークロードを調べて、アプリケーションコンポーネントが互いにどのように通信するかを理解してください。アプリケーションの動作を明確に把握できれば、適切な適用ポリシーを作成できます。

重要なポイントは、すべてのクラウドアプリケーションは、場所や使用する関連リソースに関係なく、従来のデータセンターのサーバー上で実行されているアプリケーションと同様に厳重に保護する必要があるということです。

セキュリティはクラウドのビジネスを成功に導く鍵です

組織の大小を問わず、より多くのワークロードをクラウドに移行したり、移行を検討したりする中で、その動機は何でしょうか。クラウドが提供するスピード、柔軟性、スケーラビリティ。とはいえ、「孤児」であるセキュリティは、クラウドへの移行についての議論には含まれていないことが多いです。その理由は?セキュリティはビジネスアクセラレータではなく「ビジネスコンプリケーター」と見なされているからです。

ただし、セキュリティ計画はクラウド移行作業の一部であり、後から考えるべきではありません。CloudSecure は、クラウドネイティブのアプリケーション、仮想マシン、コンテナだけでなく、サーバーレス、PaaS、IaaS のインフラストラクチャも継続的に監視して保護します。そのため、安心してクラウドを導入できます。

マルチクラウド環境とハイブリッド環境のセキュリティを強化する方法の詳細をご覧ください。

• デモを視聴して確認する イルミオ・クラウドセキュアが動作中。
• を読む 製品概要。
• をダウンロードする ガートナー社によるゼロトラストネットワーキング2023のハイプサイクル