クラウドとオンプレミス間のセキュリティギャップを埋める方法

クラウドとオンプレミス間のセキュリティギャップを埋める方法

ただし、東西トラフィック、つまり内部ネットワークとデータセンターを通過するがネットワーク境界を越えないトラフィックは、これらのクラウドベースのセキュリティ検査の対象となることはありません。

1 つの解決策は、東西トラフィックのみを監視する従来のデータ センター ファイアウォールを維持することです。まず、このハイブリッド セキュリティ アーキテクチャにより、さまざまなセキュリティ ソリューションの管理にかかるコストと複雑さが増大します。これは、企業がクラウドベースの統合セキュリティ スタックを通じて克服したいと考えている問題です。

2 番目に、クラウドとオンプレミスのセキュリティ コンポーネント全体にわたる統一された可視性が欠如していると、共有環境が失われ、必然的にセキュリティ ギャップが生じる可能性があります。セキュリティ情報およびイベント管理 (SIEM) や拡張検出および対応 (XDR) ソリューションであっても、さまざまな種類のトラフィックに対してハイブリッド セキュリティ スタックを維持する複雑さと運用オーバーヘッドに対処することはできません。したがって、企業には、統合されたコントロール プレーンを通じて管理でき、着信、発信、内部トラフィックにユビキタスな保護を提供できる単一の統合セキュリティ スタックが依然として必要です。

クラウドネイティブセキュリティを東西トラフィックに拡張

企業には、南北方向と東西方向の両方の保護を提供するセキュリティ ソリューションが必要ですが、これらすべてを統合されたクラウドベースのコンソールを通じて調整する必要があります。これを実現するには 2 つの方法があります。

1. WANファイアウォールポリシーを通じて

SASE や SSE などのクラウドネイティブ セキュリティ アーキテクチャは、すべての内部トラフィックを最も近いポイント オブ プレゼンス (POP) 経由で再ルーティングし、データ センターのファイアウォールによって通常提供されるものと同じ保護を提供できます。独自の構成と管理の制約があるオンプレミスのファイアウォールとは異なり、SSE POP で構成されたファイアウォール ポリシーは、プラットフォームの集中管理コンソールを通じて管理できます。管理者は統合コンソールから、ZTNA の原則に基づいてアクセス ポリシーを作成できます。たとえば、オンプレミス データ センター内でホストされている機密リソースへのアクセスを、企業 VLAN に接続し、承認された Active Directory 登録済みデバイスを実行している承認済みユーザーのみに許可できます。

ただし、場合によっては、企業はトラフィックを POP にリダイレクトせずに、東西トラフィック保護をローカルに実装する必要があることがあります。

2. LANファイアウォールポリシーを通じて

IoT VLAN に接続されたカメラが内部サーバーにアクセスする必要があるとします。

IoT カメラは悪意のある脅威アクターによって簡単に侵害され、リモート C2 サーバーを介してインターネット経由で制御される可能性があるため、カメラのインターネットまたは WAN アクセスはデフォルトで無効にする必要があります。データセンターのファイアウォール ポリシーが POP に実装されている場合、インターネットに接続できない IoT デバイスからのトラフィックは当然そのようなポリシーの対象外となります。このギャップを埋めるために、SASE および SSE プラットフォームでは、管理者がローカル SD-WAN デバイス上でファイアウォール ポリシーを構成できるようになります。

通常、企業はサイトに設置された SD-WAN アプライアンス (ソケットとも呼ばれる) を介して SASE または SSE POP に接続します。一元化されたダッシュボードを使用すると、管理者は、WAN 経由で POP に送信せずに、SD-WAN デバイス上で直接内部トラフィックまたは LAN トラフィックを許可またはブロックするルールを設定できます。

このシナリオでは、トラフィックが事前設定された LAN ファイアウォール ポリシーと一致する場合、ルールをローカルで適用できます。たとえば、管理者は、企業の VLAN ユーザーにプリンタ VLAN に接続されたプリンタへのアクセスを許可し、ゲスト Wi-Fi ユーザーのアクセスを拒否することができます。トラフィックが事前定義されたポリシーと一致しない場合、トラフィックは POP に転送され、さらに分類されます。

クラウドベースの東西保護が最善の策

セキュリティ機能がクラウドに移行するにつれて、現場で必要な制御とセキュリティ対策を見失わないことが重要になります。

クラウド ネイティブ保護は、複雑さを軽減し、統合を促進しながら、カバレッジを拡大するように設計されています。 SASE および SSE アーキテクチャで東西トラフィック保護を有効にすることは、このようなプラットフォームが提供する統合された可視性、制御、管理を維持することと同様に重要です。これを実現するには、企業は新たな脅威に混乱したり、さまざまなセキュリティ ソリューションを追加したりしないようにする必要があります。

したがって、クラウドベースのセキュリティ パラダイムに追加されるオンプレミスのセキュリティ対策では、統合されたコントロール プレーンを維持し、LAN および WAN トラフィック全体にわたるきめ細かなポリシー構成とエンドツーエンドの可視性を実現する必要があります。これは、企業がクラウドとオンプレミスのセキュリティ間のギャップを確実に埋め、持続可能で適応性があり、将来にも対応できるセキュリティ スタックを実現できる唯一の方法です。

<<:  Docker イメージの構築: 技術的な詳細分析と実践ガイド

>>:  クラウドに乗って未来へ |マルチクラウドアーキテクチャにおけるByteDanceのセキュリティ運用の実践

推薦する

Baidu Spark Projectはオリジナル記事の掲載問題を解決できるか?

インターネット情報環境の健全な発展を促進するため、検索エンジンは日々アルゴリズムを更新し、質の高いオ...

中国モバイルインターネットプラットフォームデータレポート、プロモーションと運用に必読!

1. 中国のモバイルインターネットの配当はピークに達し、配当後のユーザー価値を刈り取る時代が始まろ...

「コールドデータ」の保存コストがさらに 69% 削減されました。テンセントクラウドがディープアーカイブストレージを開始

Tencent Cloudが、アクセス頻度は極めて低いが永続的な保存を必要とする「コールドデータ」向...

ウェブマスターの粘り強さは、小さな一歩を踏み出して千マイルに到達することです

まず、ウェブマスターになろうと奮闘している皆さんに励ましの言葉を送ります。私たちは何度も諦めたくなり...

Mafengwo ビッグデータ プラットフォームにおける Kafka クラスターの最適化とアプリケーション拡張

Kafka は人気のあるメッセージ キュー ミドルウェアです。大量のデータをリアルタイムで処理でき、...

Baidu Shareは次のBaidu Knowsになるかもしれない

Baidu を注意深く観察すると、最近、Google+1 や Facebook の「いいね!」に似た...

大規模分散サーバーアーキテクチャの原理の分析

技術者として、私たちはほぼすべてのプロジェクトが、単一のサーバーからクラスター サーバーまで、単純な...

マイクロソフトのハリー・シャム氏:過去を振り返り、新しいことを学び、責任感を持ってイノベーションを推進する

本日、烏鎮で開催されている世界インターネット会議において、多くの同僚と「過去を振り返り新たなことを学...

百度ファイナンスの最初の製品が発売されたが、年率8%の収益率の約束は控えめに述べられている。

【はじめに】百度は金融管理の最低投資額を1元に設定し、販売後の迅速な償還をサポートしています。テンセ...

Tektonシリーズのインストールに関する記事

みなさんこんにちは。私はジョックです。今日から、Tekton に関する一連の記事をお届けします。主に...

ウェブサイトを最適化するためのテクニックは本当に存在するのでしょうか?

A5 フォーラムで、SEO 最適化のためのコツがあるかどうか尋ねる初心者を見ました。私の答えは、はい...

役立つ情報共有:XX母子ウェブサイトチャンネルとコラム企画事例

2008 年は、母子向けウェブサイトが急速に発展した黄金期でした。一方では、伝統的な母子向け製品チェ...

盲目的な買収? LeEco のビジネス行動の背景には何があるのでしょうか?

LeTVが最近非常に人気になっているのは明らかです。これは、LeTVがコアビジネスで素晴らしい成果を...

SEOは今後どのように発展していくのか

テレビドラマの魔術師のように検索エンジンの今後の発展を予測できるわけではありませんが、近年の発展傾向...

ウェブマスターとして、サーバーの IIS ログの役割を理解していますか?

サーチャーにとって、サーバーの IIS ログは最適化の参照ログとして非常に重要であり、ここから検索エ...