ネイティブ クラウド コントロールでは意味のあるマイクロセグメンテーションには不十分なのはなぜですか?

ネイティブ クラウド コントロールでは意味のあるマイクロセグメンテーションには不十分なのはなぜですか?

精密に作成されたマイクロセグメンテーション ポリシーは、許可なく通信するアプリケーションから保護し、プロセス中の潜在的な脅威を運用スタッフに警告します。

データとワークロードのクラウドへの移行は、むしろスプリントのようなものでした。競争上の優位性を求める企業は、クラウド コンピューティングが提供する俊敏性と柔軟性を積極的に活用しようとしており、セキュリティは後回しにされることが多いです。しかし、クラウド コンピューティング プロバイダーはこれを気にしないのでしょうか?答えが「ノー」、少なくとも完全にはそうではないと聞いて驚いた企業もありました。

クラウド コンピューティングおよび Infrastructure as a Service (IaaS) プロバイダーは、共有セキュリティ モデルに基づいて運用されます。顧客や見込み客と話をすると、大規模で複雑な企業でさえもこの概念を理解するのに苦労していることが明らかになりました。セキュリティはプロバイダーとユーザーの間で共有される責任であり、ほとんどの場合、責任はかなり明確です。

[[220825]]

たとえば、プロバイダーの責任である「クラウド内(パブリック クラウド プロバイダー)」のセキュリティと、「クラウド内(顧客)」のセキュリティを区別します。通常、プロバイダーは、ハードウェア、ソフトウェア、ネットワーク、物理施設を含むクラウド コンピューティング インフラストラクチャのセキュリティ保護を担当します。ユーザーは自身のオペレーティング システム、アプリケーション、およびデータを保護する責任を負います。

ここで事態が曖昧になります。クラウド プロバイダーは資産を保護するためのツールを提供する場合がありますが、それらのツールを使用することを選択した場合、そのツールの構成と管理の責任はプロバイダーではなくユーザーにあります。全体として、クラウド ユーザーは積極的に行動し、プロバイダーのセキュリティ機能を綿密に検討した上で、共有セキュリティ契約の自らの側をサポートするために何を行う必要があるかを把握する必要があります。

マイクロセグメンテーションの課題

現代のデータ センターでは、さまざまな物理サーバー、仮想マシン、コンテナーを含むオンプレミス、プライベート クラウド、パブリック クラウド環境が混在するケースが増えています。これにより、セキュリティ チームにとって、複数の環境にアプリケーションとワークロードを配信し、さまざまなセキュリティ標準と機能を備えたプロバイダー間を移動するという複雑な課題が生じます。

現在、クラウド コンピューティング セキュリティの主な推進力はコンプライアンスです。監査人の主導により、セキュリティ チームはコンプライアンス要件を満たすベスト プラクティスとしてマイクロセグメンテーション市場を積極的に調査しています。しかし、多くの組織にとって、これを実装するのは困難です。主な障害は、単一のクラウド環境内であっても、データセンターの資産、ワークフロー、プロセスに対する可視性が欠如していることです。

可視性がなければ、ミクロレベルでセキュリティ ポリシーを確立することは不可能ではないにしても困難です。さらに事態を複雑にしているのは、人々が話題にしている企業のほとんどは、複数の異機種オンプレミス環境とクラウド環境間を移動するハイブリッド クラウド ベースのワークロードであるということです。

ネイティブクラウドコントロールは不十分

クラウド コンピューティングおよび IaaS プロバイダーは、セキュリティ グループのセキュリティ ポリシーを設定するために、個々の環境に固有のツールを提供することがよくあります。ただし、これらのツールは、今日の動的データセンターで大規模なマイクロセグメンテーションを実現するのにはあまり適していません。これらでは可視性の問題は解決されず、ユーザーはグループ化の目的で資産を識別しようとすることになります。彼らは OSI モデルのレイヤー 4 トランスポート層に焦点を当てる傾向がありますが、実際の侵入者はレイヤー 7 アプリケーション層のアプリケーション プログラムに存在します。ネイティブのクラウド セキュリティ コントロールには、動的なポリシー設定やタグ付け機能もないため、ワークロードのスケールアップやスケールダウンに合わせてセキュリティ ポリシーを自動的に拡張、更新、または変更する機能も、ワークロードをクラウドに移行する主な理由の 1 つとなります。

マルチクラウド データセンターでは、通常、各プロバイダーは独自の環境内の問題の解決に重点を置いています。あるプロバイダーのツールを使用して作成されたポリシーは、別の環境に移行されるとワークロードを適用できなくなり、複数のポリシー ソリューションを管理する責任がユーザーに課せられます。クラウド プロバイダー ツールには、特定のコンプライアンス要件を満たすポリシーを設定する柔軟性も欠けています。

精密に作成されたマイクロセグメンテーション ポリシーは、許可なく通信するアプリケーションから保護し、プロセス中の潜在的な脅威をオペレーターに警告します。クラウド コンピューティング プロバイダーが提供するほとんどのツールには、この脅威検出機能が欠けています。

クラウド顧客は自社の資産を保護し、それを保護するために使用するツールを管理する責任があることを理解し、クラウド プロバイダーが提供するツールを超えて、自ら問題に対処する必要があります。

これを実行するには何が必要ですか?

企業ユーザーは、クラウド コンピューティング プロバイダーのセキュリティ対策の完璧さを明確に理解し、何をカバーする必要があるかを判断する必要があります。これには、ベンダーのセキュリティ制御を理解し、環境を継続的に監視して、ベンダーが契約を遵守していることを確認する必要があります。

ハイブリッド インフラストラクチャでマイクロセグメンテーションを効果的に実装するには、セキュリティ チームがアプリケーションとプロセス、それらの関係、およびオーケストレーション データを詳細に把握する必要があります。マイクロプロセッサをグループ化するアプリケーションを検出して識別するには、この可視性をレイヤー 7 プロセス間レベルまで拡張する必要があります。

実装と継続的な管理を簡素化するために、セキュリティ管理者は、複数の統合クラウド環境にわたって動作し、いつでもどこでもワークロードを処理できる、プラットフォームに依存しないポリシー作成および制御メカニズムを必要とします。また、ポリシーの継続的な更新と改良、およびワークロードが自動的にスケールアップおよびスケールダウンされる際の動的なタグ付けを可能にする柔軟なポリシー エンジンも必要でした。

ユーザーは、非常に具体的なコンプライアンス要件に関連するポリシーを柔軟に設定できる必要があります。また、ネイティブのクラウド配信方法を活用するために、柔軟に展開する必要があります。最後に、データセンター内に潜む脅威を検出できる必要があります。

クラウド コンピューティングのビジネス上の利点は明らかです。しかし、十分なセキュリティがなければ、彼らは負けるでしょう。ハイブリッド インフラストラクチャでマイクロセグメンテーションを効果的に実装するための知識とツールを習得することで、IT セキュリティ チームは、クラウドを最大限に活用して戦略を推進し、目標を達成するという組織の取り組みにおいてヒーローになることができます。

<<:  分散ストレージのパフォーマンスが不十分ですか?どうすれば改善できますか?

>>:  クラウド コンピューティングのトレンド: Amazon、Google、Microsoft などの巨大企業の独占は打破されるでしょうか?

推薦する

#特別オファー# servarica: カナダの大型ハードドライブ VPS、年間 29 ドル、1G メモリ/1 コア/1T ハードドライブ/無制限トラフィック

servarica(カナダの会社、2010年~)は数日前にブラックフライデー\サイバーマンデースーパ...

信頼性の高い設計により VMware 環境の障害を防止

ESXi ホストでは高度な機能と管理のために vCenter が必要ですが、vCenter がなくて...

初心者がPPC広告で失敗する4つの主な理由を分析

どのようなオンライン収益プロジェクトでも、お金を稼ぎたいのであれば、お金を失う理由を明確に理解する必...

#国内# spinservers: 米国ダラスの専用サーバー、1~10Gbps の専用帯域幅、無制限のトラフィック、月額 99 ドルから、e3-1280v5/32gDDR4/1T NVMe

spinservers は、中国の建国記念日に合わせて特別にプロモーションを開始しました。米国ダラス...

rootnerds-2.49 ユーロ/2g メモリ/100g ハードディスク/300g フロー/10g ポート/ドイツ

rootnerds (ドイツに登録) は、ドイツのフランクフルト データ センターで、openvz ...

Python バッチマイニング Baidu ドロップダウン ボックス キーワード

Baidu のドロップダウン ボックスのキーワードは、SEO キーワード拡張のための強力なツールとし...

新しいOneEDRのリリースにより、Weibu Onlineは包括的な脅威検出および対応製品マトリックスを構築

[51CTO.com からのオリジナル記事] ファイアウォールやウイルス対策ソフトウェアを通じて企業...

SEOブログの現状:話し手は真剣だが聞き手は無関心

話し手は真剣だが、聞き手は無関心である(発音が分からない場合は、ピンインの URL を参照してくださ...

Bilibiliは独自のビジネス哲学を理解したのでしょうか?

サークルを抜け出した後、ビリビリでもう一つの大きな出来事が起こりました。ビリビリが香港株式市場に上場...

ウェブサイトの最適化によって生成される質の高いコンテンツの4つの評価基準

SEO に携わる多くの人は、「私は単なる SEO オペレーターなのに、パートタイムでライターの役割を...

SEOコンテスト「天吉の競馬」

誰もが天冀の競馬の話を聞いたことがあるでしょう。彼は自分の劣勢の馬で相手の優勢の馬と競争し、優勢の馬...

ライトイヤーフォーラムは20日で終了となります。SEOフォーラム運営の難しさについて語り合いましょう。

最近、SEOグループのみんなが、光年フォーラムは20日に閉鎖されると言っています。ため息をつくしかあ...

Baidu K-station後の医療業界でのSEOのやり方

6 月 28 日、8 月 25 日、10 月 26 日、親愛なるウェブマスターの友人たち、この 3 ...

クラウド アーキテクト - クラウド コンピューティングの導入を成功させる上で重要な役割

クラウド戦略の重要性と複雑さが増すにつれて、クラウド アーキテクトは企業がリスクを回避し、クラウドへ...

安価な日本の専用サーバー: 月額 99 ドル、2*e5-2680/32G メモリ/1T HDD/50M 最適化帯域幅 (トラフィック無制限)

raksmart は現在、日本の東京データセンターの専用サーバーのクリアランス セールを行っています...