イルミオ・クラウドセキュアでクラウド攻撃チェーンを阻止する方法
クラウドサービスを使用する企業はかつてないほど増えており、攻撃対象領域は驚くべき速さで拡大しています。攻撃者がネットワークに侵入し、重要な資産に到達したりランサムウェアをインストールしたりするまで動き回る機会は、これまで以上に増えています。
しかし、クラウドへの侵入は検出が難しい場合があります。最新のサイバー犯罪手法はマルウェアをデプロイしないため、注意を引くような異常な動作は発生しません。通常、正規のポートを使用してネットワークを経由してターゲットに移動します。
だからこそ、クラウドでゼロトラストを構築することが非常に重要なのです。これにより、信頼の境界をできるだけ重要なリソースに近づけることができます。このブログ記事では、実際のクラウド攻撃チェーンについて説明し、Illumio CloudSecure によるゼロトラストセグメンテーションがクラウド内の攻撃チェーンを阻止するのにどのように役立つかを学びます。
実際の例:成功したクラウド攻撃チェーン
ほとんどのアプリケーションセキュリティプラットフォームは、脅威を見つけて対応することでクラウドを保護します。しかし、この方法だけでは十分ではなく、多くあります。 クラウドセキュリティ違反 近年は長い間発見されていませんでした。実際、の調査によると、昨年のデータ漏えいの 47% はクラウドで発生しました。 ヴァンソン・ボーン。
検出されない脅威から生き残ることは、既知の脅威から身を守ることと同じくらい重要です。既知の脅威と未知の脅威の両方を阻止する必要があります。
何が起きたの?攻撃チェーン
攻撃者は盗んだ高レベルの認証情報を使用してネットワークを侵害しました。組織は複数のセキュリティソリューションを導入していましたが、攻撃者はネットワークにバックドアを作ってデータを盗むことに成功しました。攻撃者は検出ツールを避け、マルウェアをデプロイしなかったため、何ヶ月も侵害が検知されないままでした。
組織のセキュリティツールは、既知の脅威と疑わしい行動のみを探していました。攻撃者は正規の手段を使ってネットワークにアクセスしていたため、簡単に環境内を移動したり、横方向に移動してアプリケーションにアクセスできました。
ネットワーク層では、セキュリティグループを使用してある程度のセグメンテーションが行われていましたが、それらは幅広いセグメントでした。攻撃者が最初のアプリケーションにアクセスすると、他のアプリケーションに移動するのは簡単でした。
何ができたの?横方向の動きを止める
攻撃者がアプリケーション間を移動できなければ、リソースにアクセスするのははるかに困難だったでしょう。制限します。 横方向の動き 既知の侵害だけでなく、未知の侵害からもクラウド環境を保護できたはずです。
セキュリティアーキテクチャを成功させるには、運用を複雑にすることなく、既知の脅威と未知の脅威の両方から保護する必要があります。
上の例では、クラウドネットワークの境界にあるセキュリティグループだけが横方向の移動を制限していました。仮想プライベートクラウド (VPC) または仮想ネットワーク (VNet) のセキュリティグループの問題は、それらがネットワーク中心のソリューションであるということです。多くのアプリケーション所有者がアプリケーション間のトラフィックの依存関係を十分に理解していないため、セキュリティグループがネットワークに幅広く追加されたり、まったく追加されなかったりすることが多すぎます。これにより、さまざまなトラフィックが通過できるようになり、攻撃者が簡単に侵入できるドアが大きく開かれます。
依存しています 従来のネットワークセキュリティツール 最新のハイブリッドクラウドアーキテクチャでは機能しません。これは、リソースが絶えず増減し、最適なパフォーマンスを得るためにホスト間で移動できるためです。従来のネットワーク・アドレッシングは、もはやクラウド内のアプリケーションを識別する信頼できる方法ではありません。
ゼロトラストセグメンテーションがクラウド攻撃チェーンにどのように取り組むか
今こそ、クラウドワークロードとアプリケーションセキュリティをネットワーク中心のセキュリティから切り離す時です。優先順位は大きく異なります。
ゼロトラストセグメンテーション (ZTS) クラウド攻撃チェーンのバックストップとして機能します。従来のネットワーク中心のセグメンテーションに頼ることなく、アプリケーションレベルでセグメンテーション制御を行います。
Linux Secure Shell (SSH) など、最近のほとんどのオペレーティングシステムでは、ポートがデフォルトで開かれ、リッスンモードになっています。 Windows リモートデスクトッププロトコル (RDP)。攻撃者がワークロードを侵害した場合、これらのポートのいずれかを使用して近隣のホストに接続できます。その後、これらのポートを利用して重要なリソースにアクセスしたり、悪意のあるペイロードを配信したりする可能性があります。
脅威アクターの観点から見ると、これらのオープンポートはロックされていないドアであり、ネットワーク内を移動して目的のターゲットを探し回るときに簡単に通過できます。ZTS は、アプリケーション間のこのような不必要なラテラルアクセスを阻止します。つまり、攻撃者は元の侵入口に封じ込められ、それ以上ネットワークに広がることはありません。
イルミオ・クラウドセキュアがZTSをハイブリッドマルチクラウドに拡張する方法
と イルミオクラウドセキュア、アプリケーション中心の ZTS を大規模に構築できます。CloudSecure は、各アプリケーション固有のセキュリティニーズに焦点を当てることで、攻撃対象領域を減らし、ラテラルムーブメントを阻止します。
クラウド攻撃チェーンがアプリケーション全体に広がる前に阻止するために CloudSecure が実行する 3 つのステップを次に示します。
1。クラウドトラフィックとアプリケーションの依存関係をすべて表示
見えないものを強制することはできません。だからこそ、身につけることが重要なのです。 エンドツーエンドの可視性 ハイブリッドマルチクラウド環境全体のすべてのアプリケーショントラフィックに送られます。
その一部として イルミオ ZTS プラットフォーム、CloudSecure は、クラウド環境内の任意のアプリケーションのすべてのワークロード間のすべてのトラフィックを表示します。
2。アプリケーション間の最小権限アクセスを定義する
CloudSecureはラベルベースのポリシーモデルを使用して、既存のクラウドタグをIllumioの多次元ラベルにマッピングします。ネットワーク中心のアドレスではなく、ビジネスオーナーやアプリケーションオーナーにとって意味のある境界に沿ってワークロードを識別します。これらのラベルは、アプリケーションに属するホストに関するポリシーを定義します。
3。クラウドセキュリティポリシーを自動的に実装する
その後、CloudSecure は、セキュリティグループやネットワークセキュリティグループ (NSG) などのクラウドネイティブなセキュリティツールを使用してこれらのポリシーを実装します。
セキュリティチームは、ポリシーを実装するために IP アドレスやポートを使用する必要はありません。CloudSecure は、アプリケーション中心のポリシーを、クラウドネイティブのコントロールが理解できる構文に組み込んでいます。次に、このポリシーの導入に必要なクラウドネイティブコントロールを見つけます。
ラベルベースのポリシーモデルを使用すると、アプリケーションに関連するすべてのクラウドリソースに適切なラベルが付けられます。
上記のクラウド攻撃の例では、システムがセグメントに分割されていれば、攻撃者があるアプリケーションから別のアプリケーションに移動するのがはるかに困難になります。攻撃は、検出される前にすべてのリソースに急速に広がるのではなく、少数のリソースグループに封じ込められていたはずです。
無料トライアルを始める 今日のイルミオクラウドセキュアの。 お問い合わせ Illumio ZTS Platformを使用してハイブリッドマルチクラウド全体で侵害を阻止する方法の詳細をご覧ください。