クラウドネイティブ開発がネットワークセキュリティを変える10の方法

クラウド ネイティブ開発モデルは、サイバー セキュリティの支持者が 10 年以上にわたって主張してきたアプリケーション セキュリティの向上を実現する機会を提供しますが、クラウド ネイティブ セキュリティへの移行には、新しいツールとアプリケーション、そして多くのサイバー セキュリティ専門家を快適な領域から引き離す異なるセキュリティ運用の考え方が必要です。

ここでは、クラウド ネイティブ ネットワーク セキュリティが従来のアプローチとどのように異なるかについて、開発者、アプリケーション セキュリティの専門家、クラウド ネイティブ テクノロジの専門家からの洞察を紹介します。

（１）すべてがコードであるため、アプリケーションのセキュリティが重要になる

クラウドネイティブアーキテクチャでは、マイクロサービスとAPI中心のインタラクションがアプリケーションコンポーネント間だけでなく、基盤となるインフラストラクチャ間にも存在するため、すべてがアプリケーションセキュリティの問題になる、とイスラエルのクラウドネイティブセキュリティプロバイダーであるWizの主任セキュリティ研究者、スコット・パイパー氏は述べた。

「伝統的に、ネットワークセキュリティには、ネットワーク配線がどこに接続されているかを知ることが部分的に含まれていました」と彼は言いました。 「パブリック インターネットへの接続ポイントは目に見えるので、どこにあるかがわかります。クラウドでは、構成を 1 回変更するだけで、ネットワーク ワイヤをどこかに接続しなくても、インターネットに公開される可能性があります。」

（２）ネットワーク攻撃対象領域の拡大

ガイドポイント・セキュリティのアプリケーション・セキュリティ・エンジニアリング担当ディレクター、クリステン・ベル氏は、クラウドネイティブのアプリケーション、インフラストラクチャ、データフローは企業の複雑さを増し、攻撃対象領域を増やすと述べている。

「マイクロサービスと API の増加により、データフローはより複雑になっています。アプリケーションとシステム間の統合が増え、その結果、サイバー攻撃の対象となる領域が拡大し、セキュリティの観点から考慮すべき複雑さが増しています」とベル氏は述べた。 「こうした変化に伴い、データの地理的位置を特定することを要求する新たなプライバシー法がますます増えています。」

（３）新しいアーキテクチャには新しい専門的なセキュリティツールが必要

Avalara の主席アプリケーション セキュリティ エンジニアである Rebecca Deck 氏は、静的アプリケーション セキュリティ テスト、動的アプリケーション セキュリティ テスト、ソフトウェア構成分析など、クラウド ネイティブ環境にも適用可能な従来のアプリケーション セキュリティ スキャン ツールはあるものの、開発者やネットワーク セキュリティ チームには、現在、多数の新機能とニッチなセキュリティ製品が必要になっていると述べています。

「従来のツールに加えて、クラウド コンプライアンス ツール、ドリフト制御ツール、クラウド ワークロードを監視できる侵入検知、オーケストレーションを追加して、すべてを統合する必要がありました」と彼女は述べ、変化のペースに対応するために、彼女のチームはこれらのセキュリティ機能を可能な限り透明化することで取り組んでいると説明しました。 「セキュリティツールは透明性が保たれ、セキュリティ侵害が発見された場合にのみ表示される必要がある」と彼女は述べた。

（4）オンプレミスのセキュリティツールには莫大なコストがかかる可能性がある

デック氏はまた、従来のツールはクラウド ネイティブ セキュリティにおいて依然として重要な役割を果たすことができるものの、開発チームとセキュリティ チームはそれらの設計方法と実行に必要なものを理解しなければならないと警告しました。クラウドファーストのコンテナ化モデル向けに設計されていないオンプレミス ツールの場合、これらの環境で実行するとコストがかかる可能性があります。

「クラウド専用に設計されていないツールをクラウドで実行すると、コンピューティング、ストレージ、ネットワーク トラフィックの面で多大なコストが発生する可能性があります」とデック氏は述べています。 「オンプレミス展開のコストが比較的低いにもかかわらず、多くのベンダーは非常に高価なシステムを運用する必要があります。システム遅延要件のため、ネットワーク トラフィックをチョーク ポイント経由でルーティングすることは多くの場合実現不可能であり、クラウドで十分な経験がない可能性のあるセキュリティ チームとはまったく異なる考え方が必要になります。」

（５）変化は絶え間なく続く

クラウドネイティブのインフラストラクチャと開発モデルの動的かつ一時的な性質は、変化だけが唯一の不変であることを意味します。

「クラウド プラットフォームでは、1 分間に 10 台のサーバーが稼働し、1 時間後には 10,000 台のサーバーが稼働し、さらに 1 時間後には 1 台のサーバーしか稼働しないこともあります」と Wiz の Piper 氏は語る。パイパー氏は、開発者は革新的なビジネス要件に対応するために、これらの変更を即座に行うことができると説明した。 「開発者は、これらのサービスを自ら開発し、新しいサービスや機能を試す柔軟性も持つ」と彼は語った。 「AWS は現在 200 を超えるサービスを提供しており、数少ないクラウド コンピューティング プロバイダーの 1 つにすぎません。」

環境が常に変化しているため、一貫したセキュリティ体制を維持する任務を負っているセキュリティ専門家にとって大きな課題が生じていると、Insight Enterprises の北米担当 CTO、Juan Orlandini 氏は述べています。

「クラウドネイティブ環境は動的にオーケストレーションされるため、スケールアップやスケールダウン、ソフトウェアのアップグレードなど、常に変化が起こります」と彼は語った。

（6）脅威モデリングは必須である

サイバー攻撃対象領域の拡大とクラウドネイティブ環境の動的な状況を考えると、脅威モデリングはソフトウェアリスク管理においてますます重要な部分になるだろうと、Insight Enterprises の Orlandini 氏は言う。

「クラウド ネイティブ セキュリティの中核コンポーネントとして脅威モデリングをサポートするには、ツールを進化させる必要がある」と彼は説明した。 「これは、潜在的な脆弱性と攻撃対象領域を特定するためのツールを提供し、誤った構成やその他の問題を特定するための評価を自動化することを意味します。」

（７）開発者中心のセキュリティツールが重要になる

リバティ・ミューチュアルのソフトウェア配信担当ディレクター、ジェフ・タロン氏は、開発ワークフローのスピードと柔軟性を維持するには、手作業によるレビューと引き継ぎがそれほど効果的ではなくなると述べた。同氏は、セキュリティ作業は開発ワークフロー内で合理化される必要があり、セキュリティチームはコードをレビューして安全な姿勢を維持するための開発者中心のツールとプロセスを作成する方法を見つけなければならないと述べた。

Talon は、「手動による切り替えやコンテキストの切り替えを避けるために、ツールはコア開発ツール IDE、GIT、CI/CD パイプラインにシームレスに統合される必要があります。コンプライアンスとセキュリティ ポリシーの評価は、開発プロセスとクラウド プラットフォームのランタイム全体にわたって一貫している必要があります」と述べています。

（８）安全性は標準化を目指すべきである

クラウド ネイティブ環境の出現により、「ワイルド ウェスト」のような雰囲気が生まれ、ルールを重視するセキュリティ担当者にとって深刻な課題となる可能性があります。セキュリティ チームは、標準とセキュリティに重点を置いたガイドラインを提案することで、開発者がクラウドに最新化できるよう支援できます。

「このプロセスが具体化し始めると、アプリケーションとクラウドのセキュリティの概念が十分に検討され、文書化され、標準化の作成に使用されることが重要になります」とガイドポイントのベル氏は述べています。 「この例としては、ベースライン コンテナ イメージ、クラウド ネイティブ アプリケーションに置き換えられる際のレガシー アプリケーションの廃止基準、ビルドおよび実装のガイダンス、パイプライン構成のベースライン基準などが挙げられます。」

（9）セキュリティ・アズ・コードにより、アプリケーションセキュリティがクラウドネイティブに追いつく

セキュリティ・アズ・コードという別の重要な概念と組み合わせると、これらの標準の出現により、持続可能なクラウド ネイティブ セキュリティの基盤を提供できます。開発者中心のツールでポリシーをコードとして通じて要件を自動化することが、クラウド ネイティブ セキュリティの究極の目標であると Talon は述べています。

「セキュリティ要件は、CI/CD パイプラインとクラウド ランタイムでポリシーをコードとして自動化することで一貫した開発エクスペリエンスを提供し、開発プロセス全体を通じてセキュリティとコンプライアンスの要件が満たされることを保証します」と彼は述べています。 「これにより、開発者はプロセスの早い段階でセキュリティに関するフィードバックを得ることができ、自ら修正して前進できる環境で作業を進めることができます。」

（10）継続的な監視が容易になる

最良のクラウドネイティブ セキュリティ アプローチには継続的な監視が組み込まれており、これはリアルタイム監視よりも定期的なスキャンに重点を置く従来のアプリケーション セキュリティ アプローチとは異なる可能性があると Orlandini 氏は述べています。

良いニュースとしては、クラウド ネイティブ インフラストラクチャの「すべてをコードとして」というアプローチにより、セキュリティ専門家が古いネットワーク監視メカニズムが機能しなくなる可能性があるという事実に適応できる限り、以前は不可能だった場所にテレメトリを簡単に設定できるようになることです。

「サイバーセキュリティ関係者にとって、クラウドでは困難になるものもあれば、容易になるものもある。こうした要素を活用する必要がある」とパイパー氏は語った。 「クラウドでは、物理サーバーほど簡単にネットワーク パケットの監視に頼ることはできないため、ID などの他の概念に頼る必要があります。サーバーのハード ドライブ スナップショットの 1 回限りのスキャンなどは、クラウドでははるかに簡単になります。」