アジア太平洋地域におけるホストベースのセキュリティの神話を払拭する

アジア太平洋地域全体でDevOps、ソフトウェア定義インフラストラクチャ、コンテナの勢いは、俊敏性の向上の必要性とハイブリッドまたはマルチクラウド環境の採用の増加から生まれたITの変革の証拠です。2019年の Forrester の調査によると、APAC企業の70%以上がプライベートクラウドとパブリッククラウドの使用を行っている、実装している、または拡大しており、60%以上が自社の環境をマルチクラウドを含むハイブリッドと表現しています。 

しかし、 M-Trends 2020の報告によると、サイバー攻撃の規模と複雑さも増大しており、侵害の滞留時間は改善されたものの（2019年は56日）、アジア太平洋地域の企業は依然として攻撃者による再攻撃の対象として最も高い順位にランクされています。Forrester のレポートでも、ハイブリッド クラウドの成功にはセキュリティが不可欠であり、現代の IT 環境における最も重視される考慮事項であると述べられています。セキュリティ ソリューションがプライベート データ センター、パブリック クラウド、さまざまなテクノロジー世代をサポートする時期があるとすれば、それは今です。

ホストベースのセキュリティ制御は、従来、規模とセキュリティに関して本質的に影響力があり、脆弱であると考えられてきました。歴史的に、ホストベースのエージェントはリソースを消費し、システムのパフォーマンスに影響を与え、攻撃に対して脆弱であると見なされることがよく知られてきました。

APACの企業は、データセンター内のアプリケーションを管理する機密データのセグメント化と保護をサポートするソリューションをネットワークやインフラストラクチャに最初に目を向けることがほとんどですが、セキュリティチームはこれらの先入観に基づいてホストベースのセキュリティテクノロジーを却下することがよくあります。

この誤解は一般に、最新のハイブリッドクラウドや異種テクノロジー企業のニーズを満たすことができないプロジェクトにつながり、その結果、セキュリティカバレッジのギャップや誤った感覚、ネットワークやアプリケーションの可用性のリスクの増加、俊敏性への悪影響、革新的なITソリューションを採用する機会の妨げが生じます。 

基盤となるインフラストラクチャとネットワークからセキュリティを切り離す、 ゼロ トラストに重点を置いたホストベースのマイクロセグメンテーション ツールでは、このような懸念は発生しません。分散型の施行、最適化された無駄のない運用、改ざん防止機能により、分散型ハイブリッド クラウド環境と DevOps 開発プラクティスに対する当地域の企業の要件に、より効果的に適合します。

ホストベースのマイクロセグメンテーションにオープンマインドになった企業に加わることで、俊敏性を損なうことなくより効率的なセキュリティが得られる理由をいくつか紹介します。

1. パフォーマンスの問題は適用されません。ウイルス対策や HIPS などの他のホストベースのセキュリティ製品とは異なり、ホストベースのマイクロセグメンテーションツールは、インラインではなく、フィルタリングや検査のためにカーネルからユーザー空間にトラフィックを転送しない軽量エージェントに基づいています。これらのエージェントは、接続テーブルを調べ、テレメトリを収集し、ワークロードの動作を報告し、試行錯誤されたネイティブ コントロールにポリシー適用を適用します。ほとんどの場合、バックグラウンドに残り、迅速かつ定期的に動作し、OS 内にすでに存在する機能は実行されません。
2. セキュリティ上の懸念に対処します。理論的には、悪意のあるユーザーは、制御がホスト自体の外部にある場合よりも簡単にホストを侵害し、セキュリティ制御をオーバーライドし、ハイブリッドクラウドインフラストラクチャ全体の他のすべてのワークロードにアクセスできるというものです。最新のホストベースのマイクロセグメンテーションツールは、分散ファイアウォールと改ざん防止によってこれを克服します。ホストが侵害され、エージェントまたはファイアウォールのポリシーに影響を与えるために権限が昇格した場合でも、ハッカーは通信する権限を持つワークロードにのみ接続できます。エージェントに組み込まれた改ざん防止により、侵害されたワークロードはそれらの変更を元に戻し、中央のポリシーマネージャーとセキュリティオペレーションセンター(SOC)に警告し、ホストを他のワークロードのポリシーモデルから外してネットワークからさらに分離することができます。
3. 多様なテクノロジーエコシステムがサポートされています。ITシステムのフットプリントを拡大する(置き換えるのではなく)によって技術的負債を被らない企業もありますが、セキュリティソリューションは、アジア全域の企業が現在、そして将来持つさまざまなホスティング環境とテクノロジー世代をサポートする上で一線性を提供する必要があります。ホストベースのマイクロセグメンテーションツールは、コンピューティング内に制御を適用することでこれを実現し、プライベート、パブリック、またはハイブリッドクラウド内の物理、仮想、およびコンテナ実行アプリケーションを単一の画面と単一のポリシーモデルからサポートします。
4. セキュリティのレベルは、ネットワークベースの制御ポイントの場所ではなく、ビジネス リスクによって決まります。ラベル戦略を採用したホストベースのマイクロセグメンテーション エージェントは、可視性とポリシーをネットワーク制約から切り離します。アプリケーションがネットワーク境界に沿って適切に配置されていることはあまりなく、また、さまざまなレベルのセグメンテーションを必要とする拡張データセンター内のすべての領域にネットワーク中心の制御を配置することは、コスト効率がよくありません。ホストベースのアプローチと組み合わせたラベルは、ネットワークからセグメンテーションを切り離し、論理ラベル境界に沿ってセグメント化することを容易にし、ビジネスリスクとニーズに基づいて大まかな制限またはきめ細かい制限を実装できるようにします。
5. コスト上の利点が実現します。ネイティブ ホスト機能を利用することで、組織は高価なハードウェアやソフトウェアの導入、ネットワークやインフラストラクチャの侵害、タイムリーな変更管理プロセス、ネットワーク ファブリック内で制御が採用された場合に必然的に発生するボトルネック、実行する環境やテクノロジごとに複数のマイクロセグメンテーション制御を管理する必要性などを回避できます。 

ほとんどの人は、「今日、本番サーバーにどのようなソフトウェアを追加で配置できるか」と考えて目が覚めないことを理解しています。とはいえ、ホストベースのマイクロセグメンテーションソリューションを古風なブラシで描くのはやめましょう。APAC(および世界中の)の組織は、イルミオでマイクロセグメンテーションの目標を実現するための第一歩を踏み出すことで、現在および将来得られる俊敏性とセキュリティについて考える必要があります。

このアプローチが実際にどれほど効果的か興味がありますか?キャセイパシフィック航空、QBE、BEA、ニューサウスウェールズ州教育省、CLP などの 組織は 、従来のネットワーク中心または SDN アプローチを試した後、ホストベースのマイクロセグメンテーションの利点を認識しています。

詳細については、オーストラリアとニュージーランド の化学産業市場のリーダー である Ixom が、重要なシステムへの不正アクセスを防止し、脆弱性とリスクエクスポージャーを制限するためにホストベースのマイクロセグメンテーションを実装した方法をご覧ください。