効果的なクラウド ネットワーク セキュリティ戦略を導入するための 5 つの重要なステップ

従来のネットワーク セキュリティ システムは、物理的およびソフトウェア ベースの制御を適用してインフラストラクチャを不正使用から保護することにより、境界にあるエンドポイントとデータ センターを保護します。このアプローチにより、サーバーやその他の IT 機器がデータの盗難や破壊、その他の資産への攻撃から保護されます。

[[395871]]

より多くの組織がワークロードをクラウドに移行するにつれて、セキュリティ戦略は進化し、前進し続けなければなりません。クラウド コンピューティングは変革を推進し、一部のワークロードがクラウドで実行され、他のワークロードがオンプレミスで実行されるハイブリッド アーキテクチャを生み出しました。

安全な接続は、これらの環境の安定性と、そこで実行される資産の保護に不可欠です。ただし、このハイブリッド アーキテクチャでは、組織が高度に分散されたリソース全体のアクティビティを追跡するため、新たな複雑さも生じます。その結果、一部の組織は、インフラストラクチャの複数のレイヤーに効果的なクラウド サイバーセキュリティ保護を組み込む方法を模索しています。

クラウド コンピューティングのサイバーセキュリティには、意図的であるかどうかにかかわらず、インフラストラクチャ、システム、およびデータを不正アクセスや不正使用から保護するために必要なすべてのポリシー、保護、およびプラクティスが含まれます。成功するクラウド サイバーセキュリティ戦略は、保護、検出、対応という従来のサイバーセキュリティの基盤の上に構築されます。また、組織はオンデマンドのハイブリッド展開環境のセキュリティ保護に関連する固有の問題を理解する必要があります。考慮すべき 5 つの基本的なステップは次のとおりです。

1. 責任の共有

クラウド コンピューティングにより、ネットワーク セキュリティを管理する従来の境界が曖昧になります。たとえば、IaaS プロバイダーは、物理インフラストラクチャと仮想インフラストラクチャ全体に制御を適用し、ベスト プラクティスを活用して運用環境を保護します。同様に、SaaS プロバイダーはアプリケーションと施設に保護機能を組み込んでいます。しかし、組織は、データがクラウド内だけでなく、運用環境全体で保護されていることを認識する必要があります。潜在的な脆弱性が隠れている可能性のある盲点を考えると、これは簡単なことではありません。このため、クラウド コンピューティング プロバイダーとサードパーティのセキュリティ ベンダーは、クラウド コンピューティング ネットワークのセキュリティを強化するためのさまざまな追加ツール (監視ソフトウェアからパケット スニファーまで) を提供しています。同時に、通信サービスプロバイダーは、ハイブリッド環境にデータが入る際にそれを保護するためのクラウド セキュリティ ツール スイートを提供しています。したがって、サービスに組み込まれているコントロールのすべてのプロバイダーを理解し、潜在的なギャップがどこにあるのかを特定する必要があります。これは、契約書に署名する前に行うべき会話です。

安全な接続は、これらの環境の安定性と、そこで実行される資産の保護に不可欠です。

2. ソフトウェア定義アクセス

最適なクラウド運用には、セキュリティがネットワークの不可欠な部分である必要があります。このアプローチでは、クラウド コンピューティングを介して提供されるポリシーベースのソフトウェア定義のプラクティスを、Secure Access Service Edge (SASE) に組み込みます。一方、SASE は、クラウド アクセス セキュリティ ブローカー、セキュア Web ゲートウェイ、サービスとしてのファイアウォール、ブラウザー分離などの機能を含むさまざまなクラウド サービスを利用して、ハイブリッド展開環境の資産を保護します。ゼロ トラストは、Secure Access Service Edge (SASE) の重要なコンポーネントであり、すべての組織は、安全であると認定される前に、潜在的に侵害されていると見なされます。多くの組織では、IP アドレスをマスクするゼロトラスト ネットワーク アクセス (ZTNA) を使用しています。また、アプリケーション アクセスをネットワーク アクセスから分離して、感染したシステムで実行されるマルウェアなどの脅威からネットワーク リソースを保護します。アプリケーション アクセスは、承認されたユーザーとデバイスによって認証されます。

3. ネットワークのセグメンテーション

ゼロ トラスト ネットワーク アクセス (ZTNA) をネットワーク セグメンテーションと組み合わせて使用​​すると、クラウド コンピューティング ネットワークのセキュリティを強化できます。ネットワーク セグメンテーションは、物理ネットワークをより小さな部分に分割します。 IT 部門は仮想化テクノロジーを使用してネットワークをマイクロセグメント化し、個々のワークロードをサポートするのに十分な精度のネットワーク ゾーンを作成できます。これらのゾーンは仮想ファイアウォールとして機能し、サイバー攻撃者がハイブリッド展開環境に妨げられることなくアクセスするのを防ぎます。今日では、自動化テクノロジーの進歩により、組織は変化する状況や確立されたポリシーに基づいてゾーンを作成したり、環境の拡大に合わせて新しいゾーンを作成したり、環境の縮小に合わせてネットワーク セグメントの数を減らしたりすることが可能になっています。

4. 暗号化

組織は、データが保存時と転送時の両方で暗号化されていることを確認する必要があります。クラウド コンピューティング プロバイダーは暗号化サービスを提供することがよくありますが、すべてのサービスが同じように提供されるわけではないことに注意してください。さらに、すべてのアプリケーション ワークロードに同じレベルの暗号化が必要なわけではありません。たとえば、電子メールでは、メッセージが宛先に到達したときに復号化するエンドツーエンドの暗号化ではなく、メッセージがネットワークを移動するときにのみ暗号化されるトランスポート レベルの保護のみが必要になる場合があります。前者は安全性は低くなりますが、コストも後者より低くなります。

5. テストと対応

効果的なクラウド ネットワーク セキュリティの重要な部分は、適切な制御がすべての適切な領域で実施されていることを確認するためのテストです。侵入テストは、レビューの合間に実行され、脆弱性を明らかにして、悪用されたり侵害されたりする前に修正できるようにします。実施されるテストにより、コンプライアンス監査プロセス中のストレスも軽減されます。最後に、違反が発生した場合の戦略を策定します。あらゆる攻撃の影響を軽減するために、インシデント対応を保持します。組織がシステムを効果的にオンラインに戻すための計画を策定していることを確認します。可能な限り自動化することで、人為的エラーを排除し、サービスの復旧を迅速化します。次に、ログを調査して、操作を回復するための最適な方法を決定します。