クラウドセキュリティ:イルミオで誤った仮定を保証に変える

前回のブログ記事では、クラウドセキュリティが不十分であるというリスクを無視することがなぜ間違いだったのかを大まかに説明しました。また、多くの組織がビジネスをサポートするためにクラウドサービスを採用する際に行う2つの誤った思い込みを紹介しました。

この投稿では、さらに3つの仮定と、 Illumio CloudSecure のパワーを簡単に活用してクラウドネイティブの可視性と制御を向上させる方法を検討します。

仮定 #3: クラウド サービスはインターネットから分離されています。

顧客が投資を最大限に活用できるように、クラウド ベンダーはサービスとしてのインフラストラクチャ (IaaS) およびサービスとしてのプラットフォーム (PaaS) インフラストラクチャ リソースを提供します。これらには、仮想マシン、コンテナ、サーバーレス機能、マネージド クラウド データベースが含まれます。

しかし、これらの クラウドサービス は、多くの場合、デフォルトでインターネットに公開できます。したがって、潜在的な侵害の侵入ポイントになる可能性があります。アクセスを制限することは、クラウドプロバイダーではなく、顧客の責任です。クラウドはデフォルトでは「最小権限」ではないことに注意してください。代わりに、それは「過剰な特権」に基づいて動作します。これは、どのリソースが相互に通信し、それ以外はすべてブロックできるかを判断する必要があることを意味します。

クラウド上にあるアプリケーションと、それらと通信しているものを可視化しないと、適切な制御なしで重要なリソースをクラウドでホストしている可能性があります。これは、パブリッククラウドにワークロードとプロセス機能があり、内部データセンターリソースに公開されている場合に特に危険です。

優れた クラウド セキュリティを確保するには、クラウドとオンプレミスのワークロード間の通信パスを理解する必要があります。データセンターの場合と同様に、インターネットに接続されているものを正確に把握する必要があります。次に、これらの接続がハッカーやマルウェアがネットワークに侵入する経路にならないようにする必要があります。

前提条件 #4: クラウド サービスのスケーリングに制限はありません。

セキュリティの観点から見ると、AWS や Microsoft Azure などのパブリック クラウドでは、セキュリティを管理するために作成できるセグメントの数が制限されています。これにより、クラウドアプリケーションとデータをきめ細かく制御できなくなります。

セグメント化に対するクラウドプロバイダーの答えは、仮想ネットワークセグメントであり、Amazonの場合は仮想プライベートクラウド(VPC)、Microsoftの場合はAzure仮想ネットワーク(VNet)です。これらの環境では、セキュリティ グループがセグメントの内外の境界を作成します。

ただし、仮想ネットワーク セグメントに存在できるセキュリティ グループの数は限られています。制限を超える必要がある場合は、セグメント内で複数のホストを使用する必要があります。ただし、効率的にスケーリングするには、すべてのセグメントにホストを 1 つだけ持つ必要があります。

1つのセグメントに複数のホストがあると、管理の複雑さが増し、セキュリティリスクが大きくなります。1 つのホストが侵害された場合、そのホストが別のホストと通信 (場合によっては感染) することは望ましくありません。拡張するには、アクセスのセグメント化のためにクラウドプロバイダーが提供するもの以外の追加の支援が必要になります。そうしないと、組織が従来のデータセンターのセグメンテーションで遭遇したのと同じ問題、つまり可視性の低さ、複雑なポリシー管理、ネットワーク構成とファイアウォールを手動で「再配線」する必要性に直面することになります。

仮定 #5: ワークロードを保護したら、作業は完了です。

ワークロードのセキュリティについて考えるとき、多くの人はワークロードが 1 か所にとどまると誤解しています。しかし、クラウドでは、ワークロードが複数のパブリッククラウド間で移動でき、それぞれに独自のポリシーモデルがあります。その場合、セキュリティセグメントが同じセキュリティコントロールを共有する可能性は低いです。また、たとえそうであっても、セキュリティチームはこの動きを常に監視して、ワークロードが適切なポリシーによって保護されていることを確認する必要があります。

クラウド内のすべてのコンピューティング リソース、サーバーレス リソース、およびオブジェクトは動的です。これらのリソースとクラウドオブジェクトが移動すると、そのIPも変更されます。パブリッククラウド内の場所が変わる可能性があります。また、複数のクラウドプロバイダー間を移動することもできます。「死んで」、新しい IP アドレスで生き返ることさえあります。

その結果、従来のアプローチを使用してポリシーを記述できなくなります。代わりに、クラウドワークロードを調べて、アプリケーションコンポーネントが相互にどのように通信するかを理解します。アプリケーションの動作を明確に把握したら、適切な適用ポリシーを作成できます。

重要なポイントは、すべてのクラウド アプリケーションは、その場所や使用する関連リソースに関係なく、従来のデータセンターのサーバー上で実行されているアプリケーションと同じくらい熱心に保護する必要があるということです。

セキュリティはクラウドの重要なビジネスイネーブラーです

大小さまざまな組織がクラウドに移行したり、より多くのワークロードをクラウドに移行したり、移行を検討したりする中で、その動機は何でしょうか?クラウドが提供するスピード、柔軟性、拡張性。それにもかかわらず、「孤児」であるセキュリティは、クラウドへの移行に関する議論の一部ではないことがよくあります。なぜでしょうか。セキュリティは、ビジネスのアクセラレータではなく、「ビジネスの複雑化」と見なされるからです。

しかし、セキュリティ計画は、後付けではなく、クラウド移行作業の一部であるべきです。CloudSecureは、クラウドネイティブアプリケーション、仮想マシン、コンテナ、サーバーレス、PaaS、IaaSインフラストラクチャを継続的に監視および保護します。そのため、自信を持ってクラウドを採用できます。

マルチクラウド環境とハイブリッド環境向けにより強力なセキュリティを構築する方法の詳細をご覧ください。 

• Illumio CloudSecureの動作については、デモをご覧ください。
• 製品概要をお読みください。 
• Gartner Hype Cycle for Zero Trust Networking 2023をダウンロードしてください。