クラウドとオンプレミス間のセキュリティギャップを埋める方法

ただし、東西トラフィック、つまり内部ネットワークとデータセンターを通過するがネットワーク境界を越えないトラフィックは、これらのクラウドベースのセキュリティ検査の対象となることはありません。

1 つの解決策は、東西トラフィックのみを監視する従来のデータ センター ファイアウォールを維持することです。まず、このハイブリッド セキュリティ アーキテクチャにより、さまざまなセキュリティ ソリューションの管理にかかるコストと複雑さが増大します。これは、企業がクラウドベースの統合セキュリティ スタックを通じて克服したいと考えている問題です。

2 番目に、クラウドとオンプレミスのセキュリティ コンポーネント全体にわたる統一された可視性が欠如していると、共有環境が失われ、必然的にセキュリティ ギャップが生じる可能性があります。セキュリティ情報およびイベント管理 (SIEM) や拡張検出および対応 (XDR) ソリューションであっても、さまざまな種類のトラフィックに対してハイブリッド セキュリティ スタックを維持する複雑さと運用オーバーヘッドに対処することはできません。したがって、企業には、統合されたコントロール プレーンを通じて管理でき、着信、発信、内部トラフィックにユビキタスな保護を提供できる単一の統合セキュリティ スタックが依然として必要です。

クラウドネイティブセキュリティを東西トラフィックに拡張

企業には、南北方向と東西方向の両方の保護を提供するセキュリティ ソリューションが必要ですが、これらすべてを統合されたクラウドベースのコンソールを通じて調整する必要があります。これを実現するには 2 つの方法があります。

1. WANファイアウォールポリシーを通じて

SASE や SSE などのクラウドネイティブ セキュリティ アーキテクチャは、すべての内部トラフィックを最も近いポイント オブ プレゼンス (POP) 経由で再ルーティングし、データ センターのファイアウォールによって通常提供されるものと同じ保護を提供できます。独自の構成と管理の制約があるオンプレミスのファイアウォールとは異なり、SSE POP で構成されたファイアウォール ポリシーは、プラットフォームの集中管理コンソールを通じて管理できます。管理者は統合コンソールから、ZTNA の原則に基づいてアクセス ポリシーを作成できます。たとえば、オンプレミス データ センター内でホストされている機密リソースへのアクセスを、企業 VLAN に接続し、承認された Active Directory 登録済みデバイスを実行している承認済みユーザーのみに許可できます。

ただし、場合によっては、企業はトラフィックを POP にリダイレクトせずに、東西トラフィック保護をローカルに実装する必要があることがあります。

2. LANファイアウォールポリシーを通じて

IoT VLAN に接続されたカメラが内部サーバーにアクセスする必要があるとします。

IoT カメラは悪意のある脅威アクターによって簡単に侵害され、リモート C2 サーバーを介してインターネット経由で制御される可能性があるため、カメラのインターネットまたは WAN アクセスはデフォルトで無効にする必要があります。データセンターのファイアウォール ポリシーが POP に実装されている場合、インターネットに接続できない IoT デバイスからのトラフィックは当然そのようなポリシーの対象外となります。このギャップを埋めるために、SASE および SSE プラットフォームでは、管理者がローカル SD-WAN デバイス上でファイアウォール ポリシーを構成できるようになります。

通常、企業はサイトに設置された SD-WAN アプライアンス (ソケットとも呼ばれる) を介して SASE または SSE POP に接続します。一元化されたダッシュボードを使用すると、管理者は、WAN 経由で POP に送信せずに、SD-WAN デバイス上で直接内部トラフィックまたは LAN トラフィックを許可またはブロックするルールを設定できます。

このシナリオでは、トラフィックが事前設定された LAN ファイアウォール ポリシーと一致する場合、ルールをローカルで適用できます。たとえば、管理者は、企業の VLAN ユーザーにプリンタ VLAN に接続されたプリンタへのアクセスを許可し、ゲスト Wi-Fi ユーザーのアクセスを拒否することができます。トラフィックが事前定義されたポリシーと一致しない場合、トラフィックは POP に転送され、さらに分類されます。

クラウドベースの東西保護が最善の策

セキュリティ機能がクラウドに移行するにつれて、現場で必要な制御とセキュリティ対策を見失わないことが重要になります。

クラウド ネイティブ保護は、複雑さを軽減し、統合を促進しながら、カバレッジを拡大するように設計されています。 SASE および SSE アーキテクチャで東西トラフィック保護を有効にすることは、このようなプラットフォームが提供する統合された可視性、制御、管理を維持することと同様に重要です。これを実現するには、企業は新たな脅威に混乱したり、さまざまなセキュリティ ソリューションを追加したりしないようにする必要があります。

したがって、クラウドベースのセキュリティ パラダイムに追加されるオンプレミスのセキュリティ対策では、統合されたコントロール プレーンを維持し、LAN および WAN トラフィック全体にわたるきめ細かなポリシー構成とエンドツーエンドの可視性を実現する必要があります。これは、企業がクラウドとオンプレミスのセキュリティ間のギャップを確実に埋め、持続可能で適応性があり、将来にも対応できるセキュリティ スタックを実現できる唯一の方法です。