データセンターとクラウドセキュリティ — なぜ革命が必要なのか

イルミオのCTOであるPJ Kirnerによるブログシリーズをご紹介します。このブログシリーズでは、データセンターとクラウドセキュリティについて新しい方法で考え、アプリケーション環境全体で進化する要件に合わせてアプローチを再調整するのに役立つ重要な概念について説明します。

革命が起こるのには正当な理由があります。それは期待と現実の相違の結果であり、その結果、溜まったフラストレーションが生じ、変化の必要性が高まります。古いやり方はもはや新しい要件に合致せず、圧力は沸点に達し、変化を起こす以外に選択肢はありません。

アプリケーション、データセンター、クラウドの進化により、セキュリティは限界に達しました。チョークポイントやネットワークベースのアプローチなどの古い方法は、もはやアプリケーションチームの新しい要件と一致していません。これらのチームは、リソース利用とアプリケーション配信の新しいモデルに慣れてきており、後戻りはできません。今こそ、セキュリティに革命を起こす時です。

データセンターからの圧力

データセンターは過去 10 年半で急速に進化してきました。これにより、リソースをより有効に活用し、新たなレベルの規模を実現し、かつてないほど迅速に行動できるようになりました。アプリケーションが多かれ少なかれ静的で、すべてがプライベートデータセンターにあると想定していた時代は終わりました。

消費量、規模、スピードがかつてないレベルに達したことで、セキュリティチームには新たな課題とプレッシャーが生じています。

• 仮想化により、コンピューティング、ネットワーク、ストレージというデータセンターのコアリソースが抽象化され、ワークロードの移植性と適応性が向上すると同時に、アプリケーションのスケーラビリティと回復力が高まりました。
• クラウドによってオンデマンドで伸縮自在な環境が構築され、オンデマンドのインフラストラクチャのニーズを満たすことができ、利用が容易になり、利用がより効率的になりました。
• コンテナは今日の環境ではますます一般的になり、アプリケーションやサービスの開発、構築、パッケージ化を迅速に行うことができます。
  

アプリケーションからの圧力

進化と革新の分野はインフラだけではありません。アプリケーションの開発と提供の方法にも同様の変化が見られました。継続的インテグレーションと継続的デリバリー (CI/CD) のおかげで、ソフトウェアデリバリーライフサイクル (SDLC) 全体にわたる私たちの期待は高まりました。今では、従来のリリースベースのアプローチよりも迅速かつスムーズにソフトウェアを開発して提供することが期待されています。

多くの人にとって、チームが一堂に会して次の公開日の詳細を計画できる、明確なリリースサイクルの時代は終わりました。毎週、場合によっては毎日、あるいは1日に数回、新しいコードが開発され、本番環境に導入されています。

モノリシックアプリケーションはマイクロサービスアーキテクチャに取って代わられました。アプリケーション自体と関連するサービスアーキテクチャも複雑になり、コンポーネントの接続性も高まっています。アプリケーションは環境全体のデータやサービスに依存しているため、東西間の通信はかつてないほど急激に増えています。

相互接続が増えるほどオープンな経路が増え、防御すべき攻撃対象領域が広がり、ビジネスへのリスクが高まる可能性があります。さらに、コンテナは一時的なものであることと、環境間の接続性により、セキュリティに関するまったく新しい課題が生じています。

DevOps ムーブメントでは、開発者と運用チームが一堂に会し、アプリケーションとインフラストラクチャのアジリティに対するこのニーズが高まっています。しかし、この運動の第一世代では、セキュリティはループから外されていました。多くの人にとって、セキュリティへの取り組みは進歩や迅速な導入の理念を妨げるものと見なされ、場合によってはセキュリティが完全に回避される原因となっていました。

セキュリティが追いついていない

データセンターのインフラストラクチャとアプリケーションの進化により、組織はよりソフトウェア主導型になり、かつてないほど迅速に移行する動きが加速しています。セキュリティは常に重要ですが、組織がビジネスを推進するためにソフトウェアへの依存度が高まるにつれ、ビジネスリスクを最小限に抑えるためにセキュリティを適切に導入することがますます重要になっています。これを誤ると、データの損失、収益への影響、ブランドへの長期的な影響、さらにはコンプライアンスに関連する罰則につながる可能性があります。セキュリティは、インフラストラクチャやアプリケーション全体で見られたような進化に追いついていません。

ポリシーを適用するための従来のネットワークベースのチョークポイントソリューションは、非現実的であるだけでなく、設計や導入がまったく不可能な場合があります。アプリケーションはそれぞれのパーツの集合体であり、データセンターやクラウドに分散していることもあるため、ポリシーを一貫して適用することの複雑さは大きな課題となる可能性があります。それに、アプリケーション・インフラストラクチャがますます動的になっているという事実と相まって、ポリシーを動きや規模に合わせて維持することはほぼ不可能です。

セキュリティを進化させる目的の1つは、バランスを攻撃者のアドバンテージから遠ざけ、防御側の強みを活用することです。

攻撃者でさえ、最新のセキュリティアプローチを打ち負かすように進化しています。防御側にとって有利になるようにバランスをとるには、脅威に対する事後対応型のモデルから、防御側がコントロールを取り戻すような、積極的にゲームを変えるモデルへと移行するモデルが必要です。そのためには、新しい方法でセキュリティにアプローチし、アプリケーション環境とその保護方法についてこれまでとは違う考え方をする必要があります。

現在のセキュリティアプローチは、完全な障害ではないにしても、道路の段差となり、進捗を遅らせる可能性があります。従来の道を歩み続けると、開発チームが効率性を維持するために必要なペースで前進し続けるために、セキュリティを回避する方法を模索するリスクがあります。

このような効率性の必要性は、セキュリティを再考し、データセンター全体で見られた進化に合わせてより適切に調整する必要がある理由の1つです。

最新のアプリケーション環境におけるセキュリティの進化

今日のほとんどのセキュリティソリューションは、物事の動きが遅く、多かれ少なかれ静的であるという古い仮定に基づいていますが、現実はもはや真実ではないことはわかっています。

まだ完全な影響を感じていなくても、ビジネスはますますソフトウェアによって動かされ、アプリケーションの変化は加速し、アプリケーション環境はより複雑で異質になりつつあります。そのため、データセンターの革命が求められています。 クラウドセキュリティ。

仮想化や IaaS などのテクノロジーでは、アプリケーションの要件に合わせてインフラストラクチャが抽象化されています。セキュリティについても同様の方法で考える必要があります。

リスクを理解し、ポリシーを構築するには、アプリケーションとビジネスプロセスのコンテキストでワークロードを確認するのが最善の方法です。また、組織内のすべてのチームが理解できる唯一の共通言語でもあります。アプリケーション開発チームは、自社のアプリケーション環境をネットワーク (IP アドレスとポート) のコンテキストで考えることはありません。彼らは、アプリケーションのコンポーネント、それらがどのように関連しているか、どのように連携しているかという文脈で考えます。

同じことが、自分のプロセス、関連するアプリケーションとサービス、そしてそれらすべてがどのように連携してビジネス要件に対応するかについて考えるビジネスプロセスオーナーにも当てはまります。

この視点の転換は基本であり、新しいアプローチへの扉を開くための第一歩です。これは、プラットフォームや場所にまたがる最新のアプリケーション環境に適応し、需要に合わせて動的に移動および拡張できるセキュリティを構築する唯一の方法です。

次回の記事では、アプリケーション中心のマップが重要である理由と、それがセキュリティを再考し進化させるための基盤となる理由について説明します。

編集者注:次の投稿を読んでください。 「セキュリティを進化させるにはマップが必要です。」