否定から受け入れへ: 企業向けクラウド セキュリティの 6 つの段階

過去数年間のクラウド セキュリティの発展を観察すると、多くの企業がパブリック クラウド コンピューティングを導入する際に特定の行動パターンに従う傾向があることがわかります。彼らが経る一般的な段階は次のとおりです。

[[205058]]

1. 保守段階

この期間中、CISO は、パブリック クラウドではワークロードを適切に保護できないと主張し、クラウド コンピューティングに抵抗しました。このような行動は後発企業や非常に保守的な企業の間では今でも時々見られますが、クラウド コンピューティングはほとんどの大企業で確実に普及しています。言い換えれば、CISO はクラウドから隠れることはできません。代わりに、好むと好まざるとにかかわらず、クラウドベースのワークロードを保護する方法を考え出す必要があります。

2. 従来のセキュリティ段階

企業がパブリック クラウド コンピューティングの実験を開始したとき、セキュリティ チームは、ファイアウォール、プロキシ、ウイルス対策ソフトウェア、ネットワーク分析などの既存の社内セキュリティ監視および実施ツールを使用して、クラウド ワークロードを保護しようとする傾向がありました。 Enterprise Strategy Group (ESG) による 2016 年の調査では、企業の 92% が既存のセキュリティ ツールを使用してクラウド セキュリティをある程度保護していることが示されました。

問題は明らかです。従来のセキュリティ テクノロジーは、物理デバイス、内部ログ、システム中心のソフトウェア、および受信および送信ネットワーク トラフィック向けに設計されていました。これらは、パブリック クラウド コンピューティングの一時的なアーキテクチャ向けに設計されていません。この不整合は多くの場合、完全な失敗につながります。企業の 32% は、クラウド セキュリティを効果的に保護できないため、従来のセキュリティ テクノロジーを放棄しています。

3. クラウド監視段階

組織は、既存の制御を使用してクラウド セキュリティを実験する段階を過ぎると、「測定できないものは管理できない」という古い管理格言を受け入れる傾向があります。このフェーズでは、セキュリティ チームは監視ツールを導入して、クラウド アプリケーション、データ、ワークロード、およびすべてのクラウド アセット間の接続を完全に把握します。これは、クラウドで何が起こっているかを明確かつ正確かつ完全に理解している企業はほとんどないため、参考になります。

4. クラウド対応ステージ

すべてのクラウド資産を完全に把握することで、賢明なセキュリティ チームは、クラウド コンピューティングの「所有者」であるソフトウェア開発者、DevOps スタッフ、データ センター運用に合わせて、さらにセキュリティ操作を適応させることができます。目標は、セキュリティ技術を開発モデル、構成、Chef や Puppet などのオーケストレーション ツールに統合し、セキュリティがクラウド コンピューティングの動的な性質と速度に対応できるようにすることです。

このフェーズは、純粋なクラウド セキュリティ監視とポリシー適用からは少し逸脱していることに注意してください。しかし、主流の企業は、これは協力的で安全なベスト プラクティスを確立するための貴重な逸脱であると主張しています。

5. クラウドセキュリティ管理段階

それ以来、セキュリティ チームはクラウド開発者や運用スタッフと協力して、構成と運用にセキュリティ制御を追加してきました。セキュリティは、ワークロードのセグメンテーションから始まり、その後、より高度な制御 (ホストベースのセキュリティ、脅威の検出、欺瞞など) へとドリルダウンされる傾向があります。

いくつかの革新的なクラウド セキュリティ ツールが制御フェーズと監視フェーズを橋渡ししていることは注目に値します。クラウドを監視し、すべての資産を整理し、アプリケーションの種類、データの機密性、論理接続に基づいて適用可能なポリシーを推奨します。このブリッジは、クラウド セキュリティ ポリシー管理の高速化に非常に役立ちます。

6. 中央戦略ステージ

この段階は***企業でのみ評価できますが、将来の方向性を示しています。企業は、ソフトウェア定義のクラウド セキュリティ テクノロジーの柔軟性と動的性質に慣れると、次の段階に進みます。

統合クラウドセキュリティツール

たとえば、マイクロセグメンテーションとホストベースの制御のために、2 つの専用ツールではなく 1 つのツールを選択する場合があります。これにより複雑さが軽減され、一元的なポリシーと制御が提供されます。

従来のツールをソフトウェア定義ツールに置き換える

たとえば、データセンターの従来のファイアウォールを廃止し、ソフトウェア定義のマイクロセグメンテーション ツールに置き換えます。この戦略により、すべてのセグメンテーション戦略を一元化しながら、数百万ドルを節約できます。一部のエンタープライズ ネットワーク セグメンテーション プロジェクトでは、この取り組みが始まっており、その目標は、ソフトウェア定義のマイクロセグメンテーションを使用して、ファイアウォール ルール、スイッチ ベースのアクセス制御リスト (ACL) などを置き換えることです。野心的でしょうか?はい、しかしプロジェクトが成功すれば、セキュリティ運用が効率化され、多額の費用を節約できます。

要約する

企業にとっては行き止まりを避け、クラウド監視段階に直接進むのが賢明でしょう。これにより、何ヶ月もかかるフラストレーションが解消され、セキュリティ チームがクラウド ユーザーに迅速に対応できるようになります。テクノロジー プロバイダーにとっての目標は、強力なエンタープライズ クラスの集中管理機能と統合されたクラウド セキュリティ テクノロジーの組み合わせです。