ネイティブ クラウド コントロールでは意味のあるマイクロセグメンテーションには不十分なのはなぜですか?

精密に作成されたマイクロセグメンテーション ポリシーは、許可なく通信するアプリケーションから保護し、プロセス中の潜在的な脅威を運用スタッフに警告します。

データとワークロードのクラウドへの移行は、むしろスプリントのようなものでした。競争上の優位性を求める企業は、クラウド コンピューティングが提供する俊敏性と柔軟性を積極的に活用しようとしており、セキュリティは後回しにされることが多いです。しかし、クラウド コンピューティング プロバイダーはこれを気にしないのでしょうか?答えが「ノー」、少なくとも完全にはそうではないと聞いて驚いた企業もありました。

クラウド コンピューティングおよび Infrastructure as a Service (IaaS) プロバイダーは、共有セキュリティ モデルに基づいて運用されます。顧客や見込み客と話をすると、大規模で複雑な企業でさえもこの概念を理解するのに苦労していることが明らかになりました。セキュリティはプロバイダーとユーザーの間で共有される責任であり、ほとんどの場合、責任はかなり明確です。

[[220825]]

たとえば、プロバイダーの責任である「クラウド内（パブリック クラウド プロバイダー）」のセキュリティと、「クラウド内（顧客）」のセキュリティを区別します。通常、プロバイダーは、ハードウェア、ソフトウェア、ネットワーク、物理施設を含むクラウド コンピューティング インフラストラクチャのセキュリティ保護を担当します。ユーザーは自身のオペレーティング システム、アプリケーション、およびデータを保護する責任を負います。

ここで事態が曖昧になります。クラウド プロバイダーは資産を保護するためのツールを提供する場合がありますが、それらのツールを使用することを選択した場合、そのツールの構成と管理の責任はプロバイダーではなくユーザーにあります。全体として、クラウド ユーザーは積極的に行動し、プロバイダーのセキュリティ機能を綿密に検討した上で、共有セキュリティ契約の自らの側をサポートするために何を行う必要があるかを把握する必要があります。

マイクロセグメンテーションの課題

現代のデータ センターでは、さまざまな物理サーバー、仮想マシン、コンテナーを含むオンプレミス、プライベート クラウド、パブリック クラウド環境が混在するケースが増えています。これにより、セキュリティ チームにとって、複数の環境にアプリケーションとワークロードを配信し、さまざまなセキュリティ標準と機能を備えたプロバイダー間を移動するという複雑な課題が生じます。

現在、クラウド コンピューティング セキュリティの主な推進力はコンプライアンスです。監査人の主導により、セキュリティ チームはコンプライアンス要件を満たすベスト プラクティスとしてマイクロセグメンテーション市場を積極的に調査しています。しかし、多くの組織にとって、これを実装するのは困難です。主な障害は、単一のクラウド環境内であっても、データセンターの資産、ワークフロー、プロセスに対する可視性が欠如していることです。

可視性がなければ、ミクロレベルでセキュリティ ポリシーを確立することは不可能ではないにしても困難です。さらに事態を複雑にしているのは、人々が話題にしている企業のほとんどは、複数の異機種オンプレミス環境とクラウド環境間を移動するハイブリッド クラウド ベースのワークロードであるということです。

ネイティブクラウドコントロールは不十分

クラウド コンピューティングおよび IaaS プロバイダーは、セキュリティ グループのセキュリティ ポリシーを設定するために、個々の環境に固有のツールを提供することがよくあります。ただし、これらのツールは、今日の動的データセンターで大規模なマイクロセグメンテーションを実現するのにはあまり適していません。これらでは可視性の問題は解決されず、ユーザーはグループ化の目的で資産を識別しようとすることになります。彼らは OSI モデルのレイヤー 4 トランスポート層に焦点を当てる傾向がありますが、実際の侵入者はレイヤー 7 アプリケーション層のアプリケーション プログラムに存在します。ネイティブのクラウド セキュリティ コントロールには、動的なポリシー設定やタグ付け機能もないため、ワークロードのスケールアップやスケールダウンに合わせてセキュリティ ポリシーを自動的に拡張、更新、または変更する機能も、ワークロードをクラウドに移行する主な理由の 1 つとなります。

マルチクラウド データセンターでは、通常、各プロバイダーは独自の環境内の問題の解決に重点を置いています。あるプロバイダーのツールを使用して作成されたポリシーは、別の環境に移行されるとワークロードを適用できなくなり、複数のポリシー ソリューションを管理する責任がユーザーに課せられます。クラウド プロバイダー ツールには、特定のコンプライアンス要件を満たすポリシーを設定する柔軟性も欠けています。

精密に作成されたマイクロセグメンテーション ポリシーは、許可なく通信するアプリケーションから保護し、プロセス中の潜在的な脅威をオペレーターに警告します。クラウド コンピューティング プロバイダーが提供するほとんどのツールには、この脅威検出機能が欠けています。

クラウド顧客は自社の資産を保護し、それを保護するために使用するツールを管理する責任があることを理解し、クラウド プロバイダーが提供するツールを超えて、自ら問題に対処する必要があります。

これを実行するには何が必要ですか?

企業ユーザーは、クラウド コンピューティング プロバイダーのセキュリティ対策の完璧さを明確に理解し、何をカバーする必要があるかを判断する必要があります。これには、ベンダーのセキュリティ制御を理解し、環境を継続的に監視して、ベンダーが契約を遵守していることを確認する必要があります。

ハイブリッド インフラストラクチャでマイクロセグメンテーションを効果的に実装するには、セキュリティ チームがアプリケーションとプロセス、それらの関係、およびオーケストレーション データを詳細に把握する必要があります。マイクロプロセッサをグループ化するアプリケーションを検出して識別するには、この可視性をレイヤー 7 プロセス間レベルまで拡張する必要があります。

実装と継続的な管理を簡素化するために、セキュリティ管理者は、複数の統合クラウド環境にわたって動作し、いつでもどこでもワークロードを処理できる、プラットフォームに依存しないポリシー作成および制御メカニズムを必要とします。また、ポリシーの継続的な更新と改良、およびワークロードが自動的にスケールアップおよびスケールダウンされる際の動的なタグ付けを可能にする柔軟なポリシー エンジンも必要でした。

ユーザーは、非常に具体的なコンプライアンス要件に関連するポリシーを柔軟に設定できる必要があります。また、ネイティブのクラウド配信方法を活用するために、柔軟に展開する必要があります。最後に、データセンター内に潜む脅威を検出できる必要があります。

クラウド コンピューティングのビジネス上の利点は明らかです。しかし、十分なセキュリティがなければ、彼らは負けるでしょう。ハイブリッド インフラストラクチャでマイクロセグメンテーションを効果的に実装するための知識とツールを習得することで、IT セキュリティ チームは、クラウドを最大限に活用して戦略を推進し、目標を達成するという組織の取り組みにおいてヒーローになることができます。