クラウドセキュリティに再び焦点を当てる:ゼロトラストセグメンテーションがクラウドを保護する方法
私たちは続けます サイバーセキュリティ啓発月間 パブリッククラウドに注目するシリーズ。
一見すると、 クラウド資産の保護 概念的には、データセンターでそれらを保護することと何ら変わりはありません。ID、アクセス制御、安全な接続、これらはすべて同じです。
しかし、インフラストラクチャ層を所有しておらず、サービスの多くがDNSアドレスへのAPI呼び出しにすぎない場合、結果はまったく同じではなくなります。
どの IP アドレスにどのような接続が必要かを正確に把握することは困難です。クラウドネイティブのファイアウォールには、IP アドレスと手動プロセスに完全に依存する基本的なテキスト駆動型のインターフェースがあります。
確かに自動化できますが、そのコードを書くのは誰ですか?すでに忙しい DevOps チームは?これは単なる手作業ではないでしょうか。そして、その作業はデータセンターのアクセスポリシーから切り離されてしまい、翻訳と手作業という別のレイヤーが必要になります。
幸いなことに、クラウドを保護するもっと良い方法があります。 ゼロトラストセグメンテーション。
ゼロトラストセグメンテーションがサイバー攻撃の拡散からクラウドを保護する主な方法は4つあります。
イルミオのチーフ・エバンジェリスト、ナタナエル・アイバーセンのハイライトをビデオでご覧ください。
そして、もっと学ぶために読み続けてください。
1。ネットワーク通信フローを完全に可視化
クラウドで使用されるサービス、アプリケーション、およびデータストアの多くが、それ自体が API を呼び出すだけの場合、従来のネットワークフロー分析では、クラウド接続についての有用な理解が得られないことがよくあります。
ゼロトラストセグメンテーションは、クラウドシステムのインベントリと接続テーブルへの直接接続から始まります。つまり、エラスティック・ネットワーク・インターフェース (ENI) を備えたものはすべて自動的に検出され、そのメタデータが取り込まれてネーミングに使用され、アプリケーション依存関係マップに配置されます。
その結果、 アプリケーション依存関係マップ は、絶えず変化する IP アドレスに基づくものではなく、組織が既に時間と労力を費やして作成してきた命名規則やオブジェクト規則に基づいています。
このマップは、EC2 インスタンスから Kubernetes やコンテナ化されたオブジェクト、SaaS サービス、クラウドアプリケーション、サービスブローカーまで、ほとんどすべての通信フローを包括的にカバーしています。
情報はアプリケーションとサービスごとにきちんと整理され、クラウド、インフラストラクチャ、セキュリティチームの全員がマップを読むことができるように名前が付けられています。このビューには、VPC、サブネット、ゾーンに関係なく、実際の接続トポロジが表示されます。
2。自動化され最適化されたセグメンテーションポリシー
アプリケーションの依存関係マップとどのようにつながっているかを明確に理解したら、接続がどの程度保護されているかを尋ねるのは自然なことです。これらのサービスが不適切にアクセスされたり、中断されたりするリスクにはどのようなものがありますか?
ゼロトラストセグメンテーションにはポリシーの自動化と最適化が含まれているため、 真のゼロトラスト、最小権限の結果 実現と保守が容易です。
セキュリティチームに通信フローを通知するのと同じアプリケーション依存関係マップが、ポリシー自動化コードにも次のような情報を提供します。
- 必要な接続を分析します
- それらの接続を現在の VPC ポリシーと比較します
- 次に、必要な接続が許可され、それ以外はすべて拒否されるように、セキュリティポリシーを最適化および強化する方法について推奨を行います。
作成されたポリシー推奨事項は、エージェントなしでクラウドネイティブのファイアウォールに直接実装できます。
ゼロトラストセグメンテーションはネイティブファイアウォールに書き込みを行うため、宛先に関係なくトラフィックを制御できます。EC2 から EC2 へ?はい。EC2 から Kubernetes クラスターへ?わかった。SaaSサービスからランバ機能へ?もちろんです。
ゼロトラストセグメンテーションは、完全にAPI主導型でAPIにアクセス可能な、自動化されたエージェントレスセグメンテーションを提供します。クラウドのメタデータを使用するため、サービスとしてのセグメンテーションが利用できるようになりました。
CloudOpsと自動化チームは、信頼できるメタデータ主導型の抽象化レイヤーにアクセスして、IPアドレスとファイアウォールポリシーへの変換をすべて処理し、アプリケーショントポロジーの変更にも自動的に対応できます。
3。クラウド、データセンター、エンドポイント環境のオールインワンの可視性と制御
ここまで、ゼロトラストセグメンテーションが提供するクラウドネイティブ機能の一部について説明してきましたが、最も嬉しいのは、これらの機能にはデータセンターとエンドポイント環境の完全な可視性と制御がまだ含まれていることです。
雲は島ではありません。
ユーザーと管理者はクラウドにアクセスし、クラウドはデータセンターやコロケーション施設のシステムと通信します。多くの場合、クラウドプロバイダー間の通信は常に行われています。
ゼロトラストセグメンテーションは、単一のポリシーモデル、視覚化、およびポリシー配布レイヤーを提供し、これらのさまざまな環境をすべて結び付けて協調的でスムーズなワークフローを実現します。クラウド API から視覚化されたシステムは、データセンター、VDI インスタンス、またはユーザーエンドポイントで検出されたシステムと同じ画面に表示されます。
ゼロトラストセグメンテーションをエンドポイントと一緒に導入すると、ID主導型のセグメンテーションとクラウドワークロードのアクセス制御が可能になります。
4。オペレーショナル・レジリエンスの向上
セグメンテーションポリシーのユニバーサルハブがあるということは、すべてのシステムを共通のポリシーに簡単に含めることができるということです。
多くの組織は、事前対応型と事後対応型のセグメンテーションポリシーを事前に準備することで、インシデント対応を強化したいと考えています。このアイデアはシンプルで、侵害を発見した瞬間に行動する必要があると誰もが知っていること、つまり引き締めに基づいています。 セグメンテーションコントロール。
最も重要なシステムを保護するために、サイバー攻撃が発生した場合にすぐに実施したい緊急対策はありますか?
ゼロトラストセグメンテーションでは、これらのポリシーを事前に作成して実装できるため、すぐに有効化できます。何よりも、これらのポリシーは、クラウド、データセンター、エンドポイント環境にも適用できる点です。
ゼロトラストセグメンテーションを使用すると、すべてのシステムが遵守すべき基本ポリシーを簡単に作成し、そのポリシーをクラウドベースのコンテナのデプロイからデータセンターの仮想マシンまで、あらゆる場所で適用できます。
ゼロトラストセグメンテーションでクラウドセキュリティ体制を強化
組織は、可用性や俊敏性の向上、グローバル展開の自動化などを目的としてクラウドに移行しています。
ゼロトラストセグメンテーションは、サービスとしてのセグメンテーションを提供するために必要な可視性、自動化、およびカバレッジを提供します。まず、クラウドプロバイダー API から直接情報をストリーミングして、可視性と接続マッピングを自動化することから始めます。このデータは、セグメンテーションポリシーを最適化および強化する方法を提案する強力な自動化および最適化コードに送られます。
これらのポリシーが導入されると、必要に応じてクラウド、データセンター、およびエンドポイントシステムにプッシュできます。クラウドはデータセンターとは違いがありますが、クラウドのメタデータ、接続情報、API を活用することで、組織はクラウド導入時に自動セグメンテーションポリシーを推進できることがわかりました。
最後に、以下を最適化する完全に自動化されたクラウドセグメンテーションがあります。 ゼロトラストの原則。
サイバーセキュリティ啓発月間は、クラウドのセキュリティ体制に最も影響するゼロトラストセグメンテーションなどの機能を一歩引いて検討する絶好の機会です。
来週も、サイバーセキュリティ啓発月間に再び焦点を当てるべきトピックに関するシリーズを続けます。
クラウドセキュリティについてもっと知りたいですか?電子書籍を読む: クラウドセキュリティについて知らないかもしれない5つのこと