マルチクラウド環境におけるマイクロサービス アプリケーションのセキュリティ上の課題

マルチクラウド戦略は新たなセキュリティ上の懸念をもたらします。したがって、企業はセキュリティ対策のあらゆる段階でこれらの問題に対処する必要があります。

より多くの企業がクラウド コンピューティング戦略をプライベート クラウド、パブリック クラウド、オンプレミス データ センター、エッジ サイトの組み合わせに拡大し、デジタル変革イニシアチブの一環としてマルチクラウドを採用するにつれて、セキュリティ計画のあらゆる段階で考慮しなければならない新しいセキュリティ上の課題が生まれます。

クラウドでの運用にはさまざまな利点があり、公共部門、民間企業、政府機関を問わず、あらゆる組織が現在、少なくとも一部のビジネス機能を実行するために何らかのクラウド プラットフォームを使用しています。

2023 年の戦略的アプリケーションの現状 (SOA) レポートのデータによると、企業の 85% が複数のアーキテクチャを使用してアプリケーションを実行し、分散環境に展開しています。クラウドでの運用にはさまざまなセキュリティ上の課題があり、マルチクラウド環境では、セキュリティ ポリシー、ガバナンス、コンプライアンス要件が異なる可能性のあるさまざまな環境で実行されているアプリケーションを接続する必要があるため、複雑さがさらに増大します。

高度なクラウドセキュリティ

複数のクラウドを使用することで生じるセキュリティと複雑さの課題に加えて、モノリシック アプリケーションは廃止され、より柔軟性が高く、プロビジョニングとデプロビジョニングが容易なマイクロサービスが採用されるようになっています。これにより、既存の課題がさらに増加し​​、ネットワーク攻撃対象領域が拡大し、アプリケーションの健全性とパフォーマンスに関するエンドツーエンドの可視性が低下し、運用の複雑さが増します。

建築設計の違いによる課題

各環境に存在する違いにより、環境間で一貫したセキュリティ ポリシーを適用することが困難になります。プライベート クラウド、パブリック クラウド、またはエッジ コンピューティング環境では、ワークロード セキュリティ、アプリケーション セキュリティ、および API セキュリティのニーズが必ずしも調整されているわけではありません。

さまざまなクラウド プラットフォーム間でセキュリティ ポリシーを調整することは、多くの企業にとって依然として課題であり、監視と可視性にさらに大きな影響を及ぼします。

ハイパークラウドとも呼ばれる分散クラウド テクノロジーの使用が普及しつつあります。

研究者は次のように説明しています。「ハイパークラウドは、異なるアベイラビリティ ゾーンまたはクラウド コンピューティング プロバイダー間でのアプリケーションをサービスとして移行することをサポートするクラウド アーキテクチャです。ハイパークラウドは、仮想マシンやストレージなどのリソースの割り当て、移行、終了を行うためのインターフェイスと、これらのリソースを結合する同種のネットワークを提供します。ハイパークラウドは、Amazon EC2、Microsoft Azure、Google Compute Engine、Rackspace などの主要なパブリック クラウド プロバイダーだけでなく、プライベート クラウドにも適用できます。」

クラウド セキュリティ モデル

パブリック クラウド プロバイダーは共有セキュリティ モデルを使用します。このモデルでは、クラウド コンピューティング プロバイダーが「クラウド プラットフォーム」のセキュリティに責任を持ち、消費者が「クラウド プラットフォーム」内のデータのセキュリティに責任を持ちます。

このモデルは、クラウド プロバイダーがハードウェアとすべてのハイパーバイザー コンポーネントを含むプラットフォームのセキュリティに責任を負うことを意味します。お客様は、独自のセキュリティ ポリシーとガバナンス モデルを管理し、アプリケーション、データ、API を保護するための適切な制御を設定する責任を負います。これには、DDOS 保護、Web アプリケーション ファイアウォール (WAF)、顧客のオペレーティング システムの構成管理、顧客データ ストレージ管理も含まれます。

このモデルでは、データ、アプリケーション、API、ワークロードのセキュリティの課題は顧客の負担になります。プライベート、パブリック、ハイブリッド、マルチクラウド間の知識ギャップを埋めるために必要な学習曲線は、すぐに潜在的な弱点の原因になる可能性があります。最近のガートナーの調査では、2025 年までにクラウド セキュリティ障害の 99% が顧客の責任になると予測されています。これは、さまざまな運用環境にわたってセキュリティ ポリシーを適用することが困難であること、およびクラウド ガバナンス、リスク管理、監視を既存の情報セキュリティ ライフサイクル アプローチに統合できないことに起因します。

モノリシックからマイクロサービスアプリケーションサービスとデータへの移行の課題

従来、ネットワーク ファイアウォール、侵入検知システム (IDS)、Web アプリケーション ファイアウォールは、さまざまな成功度で企業インフラストラクチャのセキュリティを確保するために使用されてきました。しかし、新しいアプリケーションを動的にプロビジョニングまたはプロビジョニング解除できるマイクロサービス アーキテクチャにこのような防御メカニズムを適応させることは、企業が直面する最大の課題の 1 つです。マイクロサービス アーキテクチャの複雑さが増すにつれて、新しいワークロードやアプリケーションに一貫したエンタープライズ セキュリティ ポリシーを適用することが難しくなります。

ほとんどのタスクは自動化する必要があり、Kubernetes クラスターなどのクラウドネイティブ ツールを実装して、新しいアプリケーションを自動的にデプロイおよびオーケストレーションし、新しいサービスのセキュリティ ポリシーを適用する必要があります。

Kubernetes のようなクラウドネイティブ ツールを適切に実行するには、十分に訓練されたクラウドおよびセキュリティの専門家が必要であり、それ自体が企業にとってもう一つの大きな課題です。

クラウドと情報セキュリティの専門家のスキルギャップがもたらす課題

ほとんどの企業は、テクノロジー投資戦略においてデフォルトでマルチクラウドを採用しており、2023年までにクラウドテクノロジーへの投資は2017年と比較して49％増加すると予想されています。また、ガートナーは、IT支出が2023年までに4.6兆ドルに増加すると予測していますが、IT投資の増加は大きな課題に直面しています。それは、ますます複雑化するインフラストラクチャを管理、運用、保護するための訓練を受けた専門家の不足です。

マルチクラウドは、企業にとってデフォルトで当然の IT 戦略になりつつあります。しかし、ほとんどの専門家は、パブリック クラウド、プライベート クラウド、オンプレミス データ センター、エッジ コンピューティング ワークロードにまたがるこれらの最新ソリューションを管理するために必要なクラウド コンピューティングの専門知識を持っていません。前述のように、マルチクラウド環境では、ほとんどの企業が対応できない複雑なサイバーセキュリティ環境が生まれます。

技術スキルが最も不足している 2 つの分野は、サイバーセキュリティとクラウド コンピューティングです。しかし、テクノロジー、特にクラウドへの投資が増加しているにもかかわらず、多くの企業は、テクノロジースキルのギャップを埋めるために従業員のスキルアップに投資していません。

スキルギャップを埋める解決策の 1 つは、企業が既存の従業員に学習プラットフォームとサンドボックス環境を提供し、クラウド コンピューティングとサイバー セキュリティ技術の使用を練習して、実稼働環境や実際のクラウドとセキュリティの課題に備えられるようにすることです。

セキュリティ・アズ・ア・サービス（SECaaS）が救世主

パブリック クラウドに移行すると、物理インフラストラクチャのセキュリティ (クラウド コンピューティングのセキュリティ) を心配する必要がないという利点がありますが、インフラストラクチャのセキュリティは、マルチクラウド モデルでプライベート クラウドを採用する企業の責任のままです。さらに、パブリック クラウドでもプライベート クラウドでも、アプリケーションは一般的な脅威に対して脆弱なままです。ランサムウェア攻撃、アプリケーションや API エンドポイントに対する DDOS 攻撃、これまで知られていなかった脆弱性を悪用したゼロデイ攻撃、クレデンシャル スタッフィング攻撃やリプレイ攻撃は依然として課題であり、攻撃件数も増加しています。 Cyber​​security Ventures によると、データ侵害は 39 秒ごとに発生し、ランサムウェア攻撃は 14 秒ごとに発生しています。

2023 年 5 月の State of Application Strategy (SOAS) レポートのデータによると、企業はサイバー犯罪者との競争で優位に立つために、スピードの必要性と社内スキルの不足を背景に、デジタル資産の安全を保つためにセキュリティ・アズ・ア・サービス (SECaaS) プロバイダーに目を向けています。

結論は

マルチクラウドがほとんどの組織の IT 戦略の中心となるにつれ、この新しいアプローチに伴う複雑さにより、セキュリティ上の課題がさらに生じます。クラウド インフラストラクチャは、ワークロードとアプリケーションのデプロイとオーケストレーションを行う Kubernetes などのクラウド ネイティブ ツールによって自動化されます。しかし、この戦略を安全に実装するには熟練した専門家が必要ですが、熟練した専門家の数は、クラウドやセキュリティ分野に存在するスキルギャップを埋めるのに必要な速度で増加していません。

企業は、スキルギャップの課題を軽減するために、既存の従業員のスキルアップにさらに投資する必要があります。悪意のある攻撃者が脆弱性を悪用する前に、脆弱性を修正するために必要なスピードを維持するために、セキュリティ・アズ・ア・サービス (SECaaS) プロバイダーに目を向ける企業もあります。