データセンターとクラウドセキュリティ:アプリケーションマッピング

イルミオのCTOであるPJ Kirnerによるブログシリーズをご紹介します。このブログシリーズでは、データセンターとクラウドセキュリティについて新しい方法で考え、アプリケーション環境全体で進化する要件に合わせてアプローチを再調整するのに役立つ重要な概念について説明します。このシリーズの最初の投稿を読んでください。 「データセンターとクラウドセキュリティ革命が必要な理由。」

GPSなしで仕事ができるなんて想像できません。ええ、私はほとんど毎日同じルートを運転していて、目隠しをしてもできるでしょうが、GPSは交通に関する最新のリアルタイムデータを持っていて、事故や渋滞を回避してくれるので、正しいルートを勧めてくれるので、最短で目的地に着くのに役立ちます。ルートの両端、私がどこから来て、どこに向かっているのかを知っていて、過去のデータを混ぜ合わせて、私が出発するのに最適な時間を予測し、常に時間通りに来ることができます。

アプリケーションをセグメント化しようとする場合、棒グラフやスパークラインだけでなく、ありふれた可視性以上のものが必要です。環境を保護するためのアプローチを最適化するには、適切な洞察、コンテキスト、視点を確実に得られるようなものが必要です。GPS と同様に、リアルタイムビュー、履歴データ、アプリケーションコンテキストなど、すべてをまとめたマップが必要です。これらすべてが、アプリケーションと、接続、トラフィックフロー、アクセスポリシー、依存関係、入力/出力など、アプリケーションに関するすべてのことを理解するために必要です。

この理解により、リスクを特定して理解し、ポリシーをモデル化し、緩和戦略を作成し、補償統制を設定し、それらのポリシー、戦略、および統制が意図したリスク軽減の意図したとおりに機能していることを確認できます。

この投稿では、絶え間なく変化し、ますます複雑化する分散型および接続型アプリケーション環境の保護を成功させるために必要なアプリケーションマッピングを提供するツールの主な特徴と要件について説明します。

可視性だけでは不十分です

どんな技術カンファレンスのフロアを歩いていても、私はそれを保証できます 可視性 流行語ビンゴカードで最初にマークした単語になります。ほぼすべてのブースに表示されます。しかし、ソリューションに可視性があるからといって、目標を達成するために必要なものがわかっているわけではありません。特にセキュリティに関してはそうです。

データの視覚化には、棒グラフ、折れ線グラフ、スパークライン、コードグラフ、サンバーストパーティション、さらにはリストなど、さまざまな形式があります。これらの出力は一部のユースケースでは問題ないかもしれませんが、セキュリティ強化を目的とした環境の理解とセグメント化に役立つような視点は得られません。

セグメンテーションの可視性は、その目標を念頭に置いて構築する必要があります。次のことが必要です。

• アプリケーションのコンポーネントのコンテキストとコンポーネント間の関係を理解するのに役立つように、環境の全体像を示してください。
• 現在と過去の状態を把握できるので、将来のリスクを計画して軽減できます。
• アプリケーション環境のリアルタイムマップを作成し、全体像を把握するためのインサイトとデータを用意しましょう。

単なるネットワークビューのように、誤った視点を提供する可視性だけでは不十分であり、アプリケーションのセキュリティポリシーを計画、定義、および適用するには効果がありません。印刷されたレリーフマップだけを持ってサンフランシスコからニューヨークまでドライブしようとするようなものです。

何が起きているかを知る

データセンターのスナップショットを撮って、そのスナップショットが数ヶ月、あるいは数年ではないにしても数週間にわたって有効であることを確信できる時代がありました。状況はそれほど変わりませんでした。チームは Visio などのツールを使って環境を計画し、中には巨大なポスターサイズのデータセンターを印刷して壁に掛けたり、計画の議論の際に指差したりするチームもいました。次のようなものを想像してみてください。

仮想化、クラウド、コンテナのおかげで、その時代は過ぎ去りました。これらはすべて、ワークロードのスピンアップ、分解、移動を容易にし、非常に動的な環境を作り出しています。Visio アイコンをクリックして.vsd を開くよりも早く、データセンターのビューは、少なくとも部分的にはすでに時代遅れで時代遅れになっている可能性があります。このような急速な変化のペースにより、セキュリティチームは現在の状況を把握し、リスクを適切に評価し、ポリシーを計画し、統制を実施することが難しくなっています。

このような非常にダイナミックな環境との同期を保つには、常に変化を見守り、変化に遅れないように調整するリアルタイムのマップが必要です。

これは、環境の現状を理解し、進化するリスクを理解する上で重要になります。どちらも効果的な緩和努力に欠かせないインプットです。

過去に何が起こったかを知る

リアルタイムだけでは十分ではありません。また、何が起こったのかを過去にさかのぼって振り返ることができなければなりません。ジョージ・サンタヤナの有名な言葉「過去を思い出せない人は、それを繰り返すことを強いられる」というのは、セキュリティチームによって必ず考慮されるべきです。基本的に過去の経験を考慮して過去のデータを振り返ることが、セキュリティ計画における次の重要なインプットとなります。これにより、現在起こっていることだけでなく、過去に起こったことも、どちらも将来起こり得ることの予測因子となります。

履歴データを利用してセキュリティはどのように向上しますか?

仮想マシン、クラウドサーバー、コンテナなどの動的なワークロードは、出現するとすぐに消えてしまう可能性があります。彼らが何をしたのか、どうやってわかるのでしょう?どのようなトラフィックが送信されたか。それらは環境にどのような影響を与えましたか?それらが存在する間、どのようなリスクがもたらされたのか？履歴データは、リスクが将来環境にどのように現れるかを理解するうえで役立つもう 1 つの重要な側面です。

アプリケーションの依存関係が時間の経過とともにどのように変化したかを確認することも、もう1つの重要な視点です。私のクリティカルなアプリケーションがこれほど密接につながったのはいつだったのでしょうか。それに接続しているのは正確には何ですか?これらの接続はすべて本当に必要なのでしょうか。どの程度心配すればいいの？履歴データにより、現在のリスクの原因を振り返り、その原因について質問することができます。

2つのワークロードが現在同じリスクにさらされているが、過去の観点から見ると、一方は時間の経過とともに増加し、もう一方は同じ期間に減少しているとしたらどうでしょうか。どのような要因が相違を引き起こしたのか。履歴データでは、リスクが変化しただけでなく、時間の経過とともにどのように変化したかがわかります。

忘れないでください—重要なのはアプリケーションに関するものです

最後の要素は、私たちがここにいる理由を思い出させてくれます。私たちが保護しようとしているのはアプリケーションなので、ネットワークではなく、アプリケーションのコンテキストで物事を見るべきです。アプリケーションチームは、ネットワーク (IP アドレス、ポート、VLAN) を見たり、理解しようとしたりしたくありません。彼らはアプリケーションとその仕組み、どのように機能すべきかを理解しており、最終的には、アプリケーションをどのように保護すべきかについて、ある程度の見識を持っているはずです。

アプリケーションのコンテキストで環境を見ることは不可欠です。

アプリケーション中心のビューは、これらのアプリケーションとそのコンポーネントを、より広い環境で果たす役割との関連で確認するのに役立ちます。これこそが、リスクを真に理解し、そのリスクを軽減するためのポリシーを策定する唯一の方法です。

アプリケーション依存関係マップはすべてをまとめます

アプリケーション依存関係マップを使用すると、環境の複雑さや詳細を抽象化しながら、アプリケーションのコンテキストとその依存関係と関係を確認できるようになりました。ネットワーク (IP アドレスとポート)、プラットフォーム (ベアメタル、VM、コンテナ)、インフラストラクチャ (プライベートデータセンターまたはクラウド) について考える必要はもうありません。アプリケーション、その仕組み、相互に依存している仕組み、ビジネスプロセスとしてどのように連携すべきか、最適な保護方法などに集中できます。

アプリケーションの依存関係マップを見ることで、物事がどのようにつながっているかがわかります。これで、何がつながっているのかを把握し、質問をすることができます。その Web サーバーはなぜそのデータベースに直接接続しているのでしょうか。

また、あるアプリケーションのリスクが他のアプリケーションにどのように影響するかもわかります。たとえば、単一障害点が、他の重要なアプリケーションに間接的に連鎖的な停止を引き起こす可能性がある場合などです。この観点から、環境全体のリスクを十分に理解し、本来あるべき動作を強制するための適切なポリシーの作成について考えることができます。