クラウドネイティブのセキュリティツールを使用する場合と使用しない場合

クラウドベンダーのセキュリティ ツールは便利ですが、それが常に正しい選択であるとは限りません。サードパーティのセキュリティ ツールを使用するタイミングを決定する方法について説明します。

サイバー攻撃が増加している中、すべての組織ではないにしても、ほとんどの組織にとってクラウド セキュリティが最優先事項となっているのは当然のことです。しかし、環境の保護に役立つツールやサービスが多数あるため、IT チームは適切な戦略を選択するのに苦労することがよくあります。

クラウド ワークロードを保護するために利用できるサービスには、ベンダーが提供するクラウド ネイティブ セキュリティ ツールと、他社または場合によってはオープン ソース プロジェクトのサードパーティ セキュリティ ツールの 2 つのカテゴリがあります。

しかし、どのタイプのクラウド セキュリティ ツールが最適でしょうか?答えは、特定のクラウド アーキテクチャと企業のセキュリティ ニーズの性質によって大きく異なります。

[[439516]]

クラウドネイティブセキュリティツール

主要なパブリック クラウド プロバイダーのほとんどは、それぞれ異なるセキュリティ ニーズを満たすように設計された複数の種類のクラウド ネイティブ セキュリティ ツールを提供しています。ただし、特定のセキュリティ要件に適した方法を見つけるのはユーザー次第です。

クラウドネイティブ セキュリティ ツールがワークロードに適しているかどうかを判断する前に、AWS、Google、Microsoft が提供するさまざまな種類のセキュリティ製品を調べてください。各カテゴリの各ベンダーのツールの機能はほぼ同等ですが、必ずしも 1 対 1 で比較できるとは限りません。

アイデンティティとアクセス管理

すべてのパブリック クラウドは、ID およびアクセス管理 (IAM) フレームワークを提供します。クラウド管理者は、これらのフレームワークを使用して、どのユーザーまたはサービスがさまざまなクラウドベースのワークロードまたはリソースにアクセスできるかを構成できます。

これらのタイプのベンダー ツールは、2 要素認証の実装、クラウドベースの IAM フレームワークとディレクトリ サービスの統合、認証と承認に関連するその他の一般的なタスクの管理のための補完的なサービスも提供します。

監査と監視

Amazon Inspector や Microsoft Azure Security Center などのクラウドネイティブ セキュリティ ツールは、一般的なタイプのクラウド ワークロードの構成を自動的にチェックし、潜在的なセキュリティ問題が検出されるとアラートを生成します。 Google Cloud Data Loss Prevention と Amazon Macie は、適切に保護されていない機密情報を自動的に検出し、ユーザーに警告することで、データに対して同様の機能を提供します。

データをさらに保護するために、クラウドベースとオンプレミスの両方の環境でセキュリティの問題を示す可能性のあるイベントを監視する Amazon GuardDuty や Azure Advanced Threat Protection などのツールがあります。

ファイアウォールとDDoS対策

IT チームは、Google CloudArmor、AWS Web Application Firewall、Azure Firewall などのサービスを使用してファイアウォールを構成し、クラウドで実行されているアプリケーションへのネットワーク アクセスを制御します。関連ツールを使用すると、クラウドベースのリソースに対する DDoS 攻撃を軽減できます。

暗号化

主要なパブリッククラウドに保存されているデータは、Amazon S3 や Azure Blob Storage などのストレージサービスに組み込まれているネイティブ機能を使用して選択的に暗号化することも、デフォルトで自動的に暗号化することもできます。パブリック クラウド ベンダーは、暗号化キーを安全に追跡するための Azure Key Vault や Google Key Management Service などのクラウドベースのキー管理サービスも提供しています。

セキュリティオペレーションセンター

最後に、クラウド管理者がすべてのセキュリティ ツールと関連データを一元管理できるように、クラウド ベンダーはセキュリティ オペレーション センターとほぼ同等のものも提供しています。 3 大ベンダーは、ユーザーがセキュリティ ツールを管理できるように、Azure Security Center、AWS Security Center、Google Cloud Platform の Security Command Center を提供しています。

サードパーティのクラウドセキュリティツール

一部の組織ではクラウド プロバイダーのネイティブ セキュリティ ツールをデフォルトとして使用しますが、他のオプションもあります。実際、多くのサードパーティ製ツールは上記と同じ機能を実現できます。

たとえば、クラウド インフラストラクチャのセキュリティ イベントを監視する場合は、セキュリティ オペレーション センターの多くの機能も提供する Splunk、IBM QRadar、LogRhythm などの商用サービスを使用できます。

クラウドに保存されたデータは、VeraCrypt や AxCrypt などのオープンソース ツールを使用して暗号化できます。 Cloudflare や Akamai などのサードパーティのファイアウォール サービスは、Web 経由の脅威からクラウド アプリケーションを保護できます。

ここで疑問が湧きます。クラウド ベンダーのセキュリティ ツールを使用するほうがよいのでしょうか、それともサードパーティの製品を選択したほうがよいのでしょうか。最善のアプローチを決定する際に考慮すべき要素が 3 つあります。

ローカルセキュリティのニーズは何ですか?

Amazon GuardDuty や Azure Advanced Threat Protection などのクラウドネイティブ セキュリティ サービスを使用すると、オンプレミスとクラウドベースのインフラストラクチャの両方のセキュリティ リスクを管理できますが、他のサービスはクラウドでのみ機能します。たとえば、クラウドベースのデータ セキュリティ サービスのネイティブ暗号化機能を使用してオンプレミスのデータを暗号化することはできません。

別の例として、クラウドベースのファイアウォール サービスはオンプレミスのアプリケーションを保護するために使用できる可能性がありますが、それらのアプリケーションをクラウド ファイアウォール サービスと統合するために、比較的複雑で高価なアーキテクチャをセットアップした場合に限られます。

したがって、オンプレミスとパブリック クラウドの両方で幅広く展開している組織では、サードパーティのオプションを使用する方が適切です。この場合、サードパーティ プロバイダーがクラウドベースおよびオンプレミスのリソースの保護においてより高い同等性を提供するため、パブリック クラウド ネイティブのセキュリティ ツールだけでは不十分です。

マルチクラウド組織ですか?

同様に、マルチクラウド戦略を採用している組織は、サードパーティのセキュリティ ツールを選択する必要があるでしょう。あるクラウド ベンダーのネイティブ セキュリティ製品は、通常、競合するパブリック クラウド上の製品と連携するようには設計されていません。

場合によっては、IT チームがあるクラウドからセキュリティ関連のデータを別のクラウドのセキュリティ監視ツールに取り込むことができる複雑な手動統合を構築することも可能です。しかし、これは価値に見合わないほど面倒です。代わりに、複数のクラウドベンダーのデータやサービスを同時に統合するサードパーティ ツールを選択してください。

クラウド セキュリティのニーズはどのように拡大し、進化するでしょうか?

また、クラウド セキュリティのニーズがどの程度の大きさか、また時間の経過とともにどのように拡大すると予想されるかについても考慮する必要があります。

クラウドで少数のワークロードのみを実行し、それがしばらく変更される予定がない場合は、クラウド ベンダーのセキュリティ ツールのみを使用してワークロードを保護することが実現可能である可能性があります。ほとんどの場合、セキュリティ ツールはクラウド サービスにネイティブに統合されているため、このアプローチの方がセットアップが速くなります。

ただし、クラウド フットプリントが着実に拡大すると予想される場合、または他のクラウドに移行したりワークロードをオンプレミスに戻したりする柔軟性が必要な場合は、サードパーティのセキュリティ サービスによって俊敏性が向上します。