クラウドとオンプレミス間のセキュリティギャップを埋める方法

クラウドとオンプレミス間のセキュリティギャップを埋める方法

ただし、東西トラフィック、つまり内部ネットワークとデータセンターを通過するがネットワーク境界を越えないトラフィックは、これらのクラウドベースのセキュリティ検査の対象となることはありません。

1 つの解決策は、東西トラフィックのみを監視する従来のデータ センター ファイアウォールを維持することです。まず、このハイブリッド セキュリティ アーキテクチャにより、さまざまなセキュリティ ソリューションの管理にかかるコストと複雑さが増大します。これは、企業がクラウドベースの統合セキュリティ スタックを通じて克服したいと考えている問題です。

2 番目に、クラウドとオンプレミスのセキュリティ コンポーネント全体にわたる統一された可視性が欠如していると、共有環境が失われ、必然的にセキュリティ ギャップが生じる可能性があります。セキュリティ情報およびイベント管理 (SIEM) や拡張検出および対応 (XDR) ソリューションであっても、さまざまな種類のトラフィックに対してハイブリッド セキュリティ スタックを維持する複雑さと運用オーバーヘッドに対処することはできません。したがって、企業には、統合されたコントロール プレーンを通じて管理でき、着信、発信、内部トラフィックにユビキタスな保護を提供できる単一の統合セキュリティ スタックが依然として必要です。

クラウドネイティブセキュリティを東西トラフィックに拡張

企業には、南北方向と東西方向の両方の保護を提供するセキュリティ ソリューションが必要ですが、これらすべてを統合されたクラウドベースのコンソールを通じて調整する必要があります。これを実現するには 2 つの方法があります。

1. WANファイアウォールポリシーを通じて

SASE や SSE などのクラウドネイティブ セキュリティ アーキテクチャは、すべての内部トラフィックを最も近いポイント オブ プレゼンス (POP) 経由で再ルーティングし、データ センターのファイアウォールによって通常提供されるものと同じ保護を提供できます。独自の構成と管理の制約があるオンプレミスのファイアウォールとは異なり、SSE POP で構成されたファイアウォール ポリシーは、プラットフォームの集中管理コンソールを通じて管理できます。管理者は統合コンソールから、ZTNA の原則に基づいてアクセス ポリシーを作成できます。たとえば、オンプレミス データ センター内でホストされている機密リソースへのアクセスを、企業 VLAN に接続し、承認された Active Directory 登録済みデバイスを実行している承認済みユーザーのみに許可できます。

ただし、場合によっては、企業はトラフィックを POP にリダイレクトせずに、東西トラフィック保護をローカルに実装する必要があることがあります。

2. LANファイアウォールポリシーを通じて

IoT VLAN に接続されたカメラが内部サーバーにアクセスする必要があるとします。

IoT カメラは悪意のある脅威アクターによって簡単に侵害され、リモート C2 サーバーを介してインターネット経由で制御される可能性があるため、カメラのインターネットまたは WAN アクセスはデフォルトで無効にする必要があります。データセンターのファイアウォール ポリシーが POP に実装されている場合、インターネットに接続できない IoT デバイスからのトラフィックは当然そのようなポリシーの対象外となります。このギャップを埋めるために、SASE および SSE プラットフォームでは、管理者がローカル SD-WAN デバイス上でファイアウォール ポリシーを構成できるようになります。

通常、企業はサイトに設置された SD-WAN アプライアンス (ソケットとも呼ばれる) を介して SASE または SSE POP に接続します。一元化されたダッシュボードを使用すると、管理者は、WAN 経由で POP に送信せずに、SD-WAN デバイス上で直接内部トラフィックまたは LAN トラフィックを許可またはブロックするルールを設定できます。

このシナリオでは、トラフィックが事前設定された LAN ファイアウォール ポリシーと一致する場合、ルールをローカルで適用できます。たとえば、管理者は、企業の VLAN ユーザーにプリンタ VLAN に接続されたプリンタへのアクセスを許可し、ゲスト Wi-Fi ユーザーのアクセスを拒否することができます。トラフィックが事前定義されたポリシーと一致しない場合、トラフィックは POP に転送され、さらに分類されます。

クラウドベースの東西保護が最善の策

セキュリティ機能がクラウドに移行するにつれて、現場で必要な制御とセキュリティ対策を見失わないことが重要になります。

クラウド ネイティブ保護は、複雑さを軽減し、統合を促進しながら、カバレッジを拡大するように設計されています。 SASE および SSE アーキテクチャで東西トラフィック保護を有効にすることは、このようなプラットフォームが提供する統合された可視性、制御、管理を維持することと同様に重要です。これを実現するには、企業は新たな脅威に混乱したり、さまざまなセキュリティ ソリューションを追加したりしないようにする必要があります。

したがって、クラウドベースのセキュリティ パラダイムに追加されるオンプレミスのセキュリティ対策では、統合されたコントロール プレーンを維持し、LAN および WAN トラフィック全体にわたるきめ細かなポリシー構成とエンドツーエンドの可視性を実現する必要があります。これは、企業がクラウドとオンプレミスのセキュリティ間のギャップを確実に埋め、持続可能で適応性があり、将来にも対応できるセキュリティ スタックを実現できる唯一の方法です。

<<:  Docker イメージの構築: 技術的な詳細分析と実践ガイド

>>:  クラウドに乗って未来へ |マルチクラウドアーキテクチャにおけるByteDanceのセキュリティ運用の実践

推薦する

新年の商品戦争:沈没市場でのアリババ、JD.com、ピンドゥオドゥオの最終決戦

新年の商品を準備することは、主要な電子商取引プラットフォームが逃すことのできない、プラットフォームの...

検索マーケティングとコミュニティ口コミマーケティング

インターネットが人々の生活に密接に関係するようになったため、伝統的な消費者行動であるAIDMA(注意...

SEO業界における姿勢の重要性についての簡単な議論

みなさんこんにちは。私はHongtu Internetです。今日、仕事に行く途中、地下鉄の入り口を通...

メガレイヤーはどうですか?米国サンノゼ標準ネットワーク回線評価

メガレイヤーはどうですか?メガレイヤーUSAはどうですか?米国サンノゼの標準ネットワーク回線を備えた...

ウェブサイトの最適化において初心者が犯しがちな間違い

SEO 初心者の多くは、6 か月前の私のように、何も知らなかった状態から、今では基礎を理解している状...

SEOで最もタブーなことは、意見も実行も柔軟性もないことだ

SEO を学ぶ過程で、さまざまな困難に遭遇します。一部の人はそれを克服して成功しますが、一部の人は平...

現在のウェブサイトの検索エンジン最適化のための高品質な記事を作成するスキルの解釈

SEOウェブサイト最適化である限り、高品質のオリジナル記事が絶対に不可欠であることはわかっています。...

ウェルズ・ファーゴがパブリッククラウド変革にどう備えたか

ウェルズ・ファーゴのハイブリッド環境および技術インフラストラクチャ責任者であるクリストファー・マーシ...

ソフトコピーライターのキャリアの方向性

インターネット上にはソフトコピーライティングに関する記事が無数にあります。しかし、そのほとんどは、優...

IaaS、PaaS、SaaS、企業はクラウドコンピューティングの方法をどのように選択すべきでしょうか?

クラウド コンピューティングはテクノロジー業界に革命をもたらし、企業や個人が世界中のどこからでも強力...

最適化の実践者は、SEO 最適化を盲目的に理解するのではなく、現実と組み合わせる必要があります。

ご存知のとおり、ウェブサイトの最適化は非常に実践的な仕事です。多くの場合、SEO 最適化には、しっか...

Baiduウェブマスターツールは、ウェブサイトがスパム外部リンクの影響を受けるのを防ぐために悪質な外部リンクを拒否します

外部リンクはウェブサイトのプロモーションにおいて非常に重要な部分です。高品質の外部リンクを持つウェブ...

検索エンジンの気質を理解する方法

有能な SEO 担当者は、検索エンジンの気質をどう理解すればよいのでしょうか。私たちにとってはわかり...

ウェブサイトのデザインで考慮すべきSEO要素

1. 検索エンジンの可読性① 重要なコンテンツやリンクを表示する際は、フラッシュ、画像、大きな画像、...

SEO 担当者が IIS ログを通じてスパイダーの動きを分析する方法の例

最適化プロセスでは、私たちを悩ませるいくつかの問題に必然的に遭遇しますが、これらの問題は最適化戦略に...