マルチクラウド環境で信頼を構築する方法

[[416858]]

最新のアプリケーションにより、企業はデジタル イノベーション ファクトリーへと変貌しています。しかし、現代のアプリケーションの分散性と複雑さにより、企業がマルチプラットフォームまたはマルチクラウド環境全体で信頼とコンプライアンスを維持することは困難になっています。

Kubernetes は現在、アプリケーション プラットフォームの標準となっていますが、クラウド コンピューティング サービス プロバイダーごとに機能や API が異なる IaaS または PaaS を提供しています。これらの API は互換性がないだけでなく (Kubernetes を除く)、各インフラストラクチャとプラットフォームはサイロ内で処理および管理されます。これらのサイロは、分離された重複しない管理境界として機能し、マイクロサービス間の境界を越えた可視性と信頼を妨げます。これにより、企業がクラウド プラットフォーム全体にわたるセキュリティのギャップを理解し、継続的に修正することが困難になり、サイバー攻撃に対して脆弱な状態になります。

この問題に対処するために、多くの企業がエンタープライズ セキュリティ制御をクラウド コンピューティング環境に拡張しています。問題は、アプリケーション チームとセキュリティ チームが従来、俊敏性とリスクおよび制御という競合する目標を持っており、セキュリティ運用がアプリケーション運用と同じペースで進化していないことです。これにより、2 つのチーム間で競合が発生し、アプリケーション運用チームは選択を迫られます。

（1）リスクを軽減するためにアプリケーションの配信と運用を遅くする。

（２）セキュリティやコンプライアンスを考慮せず、可能な限り迅速にアプリケーションの開発と提供を継続する。

どちらのアプローチも理想的ではありません。マルチプラットフォームおよびマルチクラウド環境で実行される最新のアプリケーションの潜在能力を最大限に引き出すには、ユーザーが期待する速度でソフトウェア配信ライフサイクル全体にわたってセキュリティをシームレスに統合する方法を見つける必要があります。

アプリケーション配信ライフサイクルにゼロトラストを統合する

マルチクラウドの世界でアプリケーションを保護するための鍵はゼロトラストです。ゼロ トラストの原則を最新のアプリケーションに直接組み込むことで、企業は基盤となるアプリケーション プラットフォームやクラウド スタックに関係なく、脅威を早期に特定し、攻撃対象領域を減らし、アプリケーション スタックの残りの部分とともにセキュリティ機能を提供できるようになります。

このユースケースでは、ゼロ トラストの主要コンポーネントの 1 つはアプリケーションのセグメンテーションです。つまり、異なるアプリケーションまたはアプリケーション コンポーネント間でアクセスの決定がどのように行われるかということです。ゼロ トラストでは、拡張可能なモデルを通じてアプリケーション アクセスの柔軟性と俊敏性を高める方法で、あらゆるユーザーまたはアプリケーションからあらゆるアプリケーションへの ID 認識型、適応型、オンデマンド アクセスを提供する必要があります。

アプリケーション セグメンテーションは、アプリケーション運用チームが利用できるようにして、アプリケーションの品質プロセスに別のポータルとして組み込むことができるようにする必要があります。アプリケーション運用チームは、豊富な動的属性を通じて作成されたワークロードを識別するアプリケーション セグメンテーション ポリシーを実装することで、これを実現できます。識別される固有/静的属性 (IP、デジタル証明書、名前空間、タグなど) と外部/動的属性 (ユーザーの動作、ワークロードの動作、ネットワークの動作など) が多いほど、アクセス決定をより細かく行うことができます。

驚くべきことに、今日のアプリケーションのセグメンテーションは依然として手動のプロセスです。しかし、複数のクラウド環境で何百万ものトランザクションが発生するため、個人やチームが各ワークロードに対して手動で割り当て戦略を実装することは不可能です。企業には、スケーラブルで透明性が高く、自動化された方法でゼロトラスト アプリケーション セグメンテーションを提供する方法が必要です。

接続性とセキュリティプラットフォーム

これを実現する方法は、最新のアプリケーション接続およびセキュリティ プラットフォームを使用することです。サービス メッシュでは、属性ベースのアクセス制御モデルにより、アプリケーション プラットフォームとマルチクラウド環境全体にわたって可視性とセキュリティを提供できる複数のサードパーティ ツールが統合されます。この単一ビューの運用モデルにより、アプリケーション チームは、マルチクラウド環境全体でセキュリティ サービスを自動的かつ大規模にシームレスかつ簡単にオーケストレーションできるようになります。

ただし、マイクロセグメンテーションによるきめ細かいポリシー管理は複雑さを増し、セキュリティが損なわれる可能性があります。突然、企業には、さまざまなワークロードがネットワーク内のエンティティにアクセスして対話する方法を規定する何千ものポリシーが存在することに気付くかもしれません。また、これらのポリシーは継続的に更新および維持する必要があり、アプリケーション チームとセキュリティ チームに大きな問題をもたらします。

ワークロードがデプロイされると、関連するポリシーがワークロードとともに作成され、ワー​​クロードがライフサイクルの終わりに達して廃止されるまで、ワークロードとともに運用環境内を移動します。アプリケーションは時間の経過とともに実行されるため、独自の動作を特徴とします。このセキュリティ機能により、ポリシーを自動的に選択し、ワークロードに直接適用できるようになります。

ただし、サービス メッシュがマルチクラウド環境で機能し、安全なアプリケーションを実現するには、複雑さを増したりアジャイル配信サイクルを遅らせたりすることなく、ゼロ トラストの原則に従う必要があります。企業は以下を行う必要があります。

（1）ベースライントラスト：最新のアプリケーション接続およびセキュリティプラットフォームには、APIの自動検出、APIのカタログ化、OpenAPI標準に基づくAPIドキュメントの生成などのネイティブの可観測性と自己検出機能が備わっている必要があります。最新のアプリケーション接続およびセキュリティ プラットフォームは、アプリケーション動作のベースラインを継続的に確立し、異常なアプリケーション動作を検出できる必要があります。これには、未知の攻撃やゼロデイ攻撃、特に機密データの漏洩に対する警戒が必要です。

（２）信頼の構築：アプリケーションのさまざまな部分の相互接続要件をすぐに定義することが重要です。この明示的な意図の宣言は通常、継続的インテグレーション (CI)/継続的デリバリー (CD) パイプラインの一部としてアプリケーションの展開中にアプリケーション チームによって手動で行われます。もう 1 つのオプションは、アプリケーションのテスト フェーズ中に接続の意図を自動的に検出し、サービス メッシュがマイクロサービス API 間で生成された通信フローを識別して記録できるようにすることです。これらはアプリケーション セグメンテーション戦略の基礎となります。

（３）信頼の強化：アプリケーションが期待通りに動作するために必要な通信を可能にするために、適切なアプリケーションセグメンテーションポリシーを自動的に適用するメカニズムも必要です。マイクロサービス モデルでは、アプリケーションのさまざまな部分が動的に起動およびシャットダウンされ、アプリケーションが期待どおりに機能できるようになります。アクセシビリティを管理するアプリケーション セグメンテーション戦略もこれらの変更に適応することが重要です。これは、アプリケーション プラットフォームと対話してワークロード インベントリを収集するサービス メッシュ制御プラットフォームを通じて行われます。

（4）信頼を動的に調整する：アプリケーションが実行され、クライアントがそれらと対話する際、この場合、安全な動作が特徴となります。この動作の観察は、プロセス、コンテナ、ネットワーク、およびユーザーの動作を検出してセキュリティ コンテキストを提供する、企業が利用できるさまざまな分析ツールを通じて実行できます。ただし、信頼を維持するには、サービス メッシュを通じてこれらのツールを統合し、単一の真実のソースを作成する方法が必要です。

（５）信頼モデルをエッジに拡張：アプリケーションは、SaaSプラットフォーム（SalesforceやSAPなど）やデータセンター外の他のアプリケーションとも対話します。理想的には、サービス メッシュ/ゼロ トラスト アプリケーション セグメンテーション モデルは、セキュア アクセス サービス エッジ (SASE)、セキュア Web ゲートウェイ (SWG)、クラウド アクセス セキュリティ ブローカー (CASB)、その他のゼロ トラスト セキュリティ コンポーネントなど、クラウド内の他のセキュリティ ソリューションと統合できます。これにより、データ センター、複数のクラウド サービス プロバイダー、SaaS プラットフォーム、Web アプリケーション間で信頼を確立するプロセスが標準化され、企業全体で一貫したセキュリティとコンプライアンスが確保されます。

最新のアプリケーションは、俊敏性とリアルタイムの意思決定を可能にすることでビジネスのやり方を変えていますが、アプリケーション チームがセキュリティ チームと連携してマルチクラウド環境全体でユーザー、データ、アプリケーションを保護しなければ、その潜在能力を最大限に発揮することはできません。企業には、アプリケーション チームがシームレスに信頼を確立し、マルチクラウド、マルチプラットフォーム環境全体でアプリケーションのセグメンテーションを調整するために使用できる、進化したセキュリティ モデルが必要であることは明らかです。サービス メッシュは、信頼を確立し、継続的に評価するために必要な可視性と制御を提供できます。