.png)
クラウドセキュリティに再び焦点を当てる:ゼロトラストセグメンテーションがクラウドを保護する方法
サイバーセキュリティ啓発月間のシリーズを継続して、パブリッククラウドに注目しています。
一見すると、 クラウド資産の保護は 、概念的にはデータセンターでの保護と何ら変わりません。ID、アクセス制御、安全な接続など、すべて同じです。
しかし、インフラストラクチャ層を所有しておらず、サービスの多くがDNSアドレスへのAPI呼び出しにすぎない場合、結局はまったく同じではありません。
どの接続がどのIPアドレスに必要かを正確に知ることは困難です。クラウドネイティブファイアウォールには、IPアドレスと手動プロセスに完全依存する基本的なテキスト駆動型インターフェイスがあります。
確かに自動化できますが、誰がそのコードを書くのでしょうか?すでに多忙なDevOpsチームは?それは単なる手作業ではないでしょうか?そして、その作業はデータセンターのアクセスポリシーから切り離され、別のレイヤーの変換と手作業が必要になります。
幸いなことに、クラウドを保護するより良い方法、 ゼロトラストセグメンテーションがあります。
ゼロトラストセグメンテーションがサイバー攻撃の拡散からクラウドを保護する主な方法は4つあります。
イルミオのチーフエバンジェリストであるナサナエル・アイバーセンのハイライトをビデオでご覧ください。
さらに詳しく知りたい方は読み続けてください。
1. ネットワーク通信フローの完全な可視性
クラウドで使用されるサービス、アプリケーション、データストアの多くがAPI呼び出しだけでアクセスできるため、従来のネットワークフロー分析では、クラウド接続について有用な理解が得られないことがよくあります。
ゼロトラストセグメンテーションは、クラウドシステムのインベントリと接続テーブルへの直接接続から始まります。つまり、エラスティック・ネットワーク・インターフェース (ENI) を持つものはすべて自動的に検出され、そのメタデータが取り込まれて命名に使用され、アプリケーション依存関係マップに配置されます。
その結果、 アプリケーションの依存関係マップ は、絶えず変化する IP アドレスに基づいているのではなく、組織が既に時間と労力を費やして作成している名前付けとオブジェクトの規則に基づいています。
このマップは、EC2インスタンスからKubernetesおよびコンテナ化されたオブジェクト、SaaSサービス、クラウドアプリケーション、サービスブローカーまで、ほぼすべての通信フローを包括的にカバーします。
情報は、アプリケーションとサービスごとにきちんと整理され、クラウド、インフラストラクチャ、およびセキュリティチームの全員がマップを読めるように名前が付けられています。このビューには、VPC、サブネット、ゾーンとは無関係に、真の接続トポロジーが表示されます。
2. セグメンテーションポリシーの自動化と最適化
アプリケーション依存関係マップと物事がどのように接続されているかを明確に理解したら、接続がどの程度保護されているかを尋ねるのは自然なことです。これらのサービスのいずれかが不適切にアクセスまたは中断される可能性があるリスクは何ですか?
ゼロトラストセグメンテーションには、ポリシーの自動化と最適化が含まれているため、 真のゼロトラストの最小権限 の結果を簡単に達成し、維持できます。
通信フローのセキュリティ チームに通知するのと同じアプリケーション依存関係マップは、ポリシー自動化コードに次のことを通知することもできます。
- 必要な接続を解析します。
- これらの接続を現在の VPC ポリシーと比較します
- 次に、必要な接続が許可され、それ以外はすべて拒否されるように、セキュリティポリシーを最適化および強化する方法について推奨事項を作成します。
結果として得られるポリシーの推奨事項は、エージェントなしでクラウドネイティブファイアウォールに直接実装できます。
ゼロトラストセグメンテーションはネイティブファイアウォールに書き込むため、宛先に関係なくトラフィックを制御できます。EC2からEC2へ?はい。EC2からKubernetesクラスタへ?もちろん。ランバ機能へのSaaSサービス?もちろんです。
ゼロトラストセグメンテーションは、完全にAPI駆動型でAPIアクセス可能な、エージェントレスの自動化されたセグメンテーションを提供します。クラウドからのメタデータを使用するため、サービスとしてのセグメンテーションが利用可能になりました。
CloudOpsと自動化チームは、IPアドレスとファイアウォールポリシーへのすべての変換を処理し、アプリケーショントポロジーの変更に自動的に対応できる、信頼性の高いメタデータ駆動型の抽象化レイヤーにアクセスできます。
3. クラウド、データセンター、エンドポイント環境に対するオールインワンの可視性と制御
ゼロトラストセグメンテーションが提供するクラウドネイティブ機能の一部を検討しましたが、最良のニュースは、これらの機能には、データセンターとエンドポイント環境に対する完全な可視性と制御も含まれていることです。
雲は島ではありません。
ユーザーと管理者はクラウドにアクセスし、クラウドはデータセンターやコロケーション施設のシステムと通信します。多くの場合、クラウドプロバイダー間の通信は常に流れます。
ゼロトラストセグメンテーションは、単一のポリシーモデル、視覚化、およびポリシー配布レイヤーを提供し、これらすべての異なる環境を協調的でスムーズなワークフローに結び付けます。クラウド API から視覚化されたシステムは、データセンター、VDI インスタンス、またはユーザー エンドポイントで検出されたシステムと同じ画面に表示されます。
エンドポイントとともに導入すると、ゼロトラストセグメンテーションは、クラウドワークロードのID駆動型セグメンテーションとアクセス制御を提供します。
4. 運用の回復力を向上させる
セグメンテーションポリシーのユニバーサルハブがあるということは、すべてのシステムを共通のポリシーに簡単に含めることができることを意味します。
多くの組織は、プロアクティブおよびリアクティブのセグメンテーションポリシーを事前にプロビジョニングすることで、インシデント対応を強化したいと考えています。アイデアはシンプルで、侵害を発見した瞬間に誰もが行う必要があることを知っていることに基づいており、 セグメンテーション管理を強化します。
最も重要なシステムを保護するために、サイバー攻撃が発生した場合に直ちに実施したい緊急ポリシーは何ですか?
ゼロトラストセグメンテーションを使用すると、これらのポリシーを事前に作成して実装できるため、すぐにアクティブ化できます。何よりも、これらのポリシーはクラウド、データセンター、エンドポイント環境にも拡張されます。
ゼロトラストセグメンテーションにより、すべてのシステムが準拠する基本ポリシーを簡単に作成し、クラウドベースのコンテナ展開からデータセンター内の仮想マシンまで、あらゆる場所でそのポリシーを適用できます。
ゼロトラストセグメンテーションでクラウドセキュリティ体制を強化
組織はクラウドに移行して、可用性、俊敏性、グローバル展開の自動化などを実現します。
ゼロトラストセグメンテーションは、セグメンテーション・アズ・ア・サービスを提供するために必要な可視性、自動化、カバレッジを提供します。これは、クラウドプロバイダーのAPIから直接情報がストリーミングされる、自動化された可視性と接続マッピングから始まります。このデータは、セグメンテーションポリシーを最適化および強化する方法を提案する強力な自動化および最適化コードを提供します。
これらのポリシーを展開すると、必要に応じてクラウド、データセンター、エンドポイント システムにプッシュできます。クラウドにはデータセンターとの違いがありますが、クラウドのメタデータ、接続情報、APIを活用することで、組織はクラウド展開で自動化されたセグメンテーションポリシーを推進できることがわかりました。
最後に、 ゼロトラストの原則に合わせて最適化する完全に自動化されたクラウドセグメンテーションがあります。
サイバーセキュリティ意識向上月間は、一歩下がって、クラウドのセキュリティ体制に最も影響を与えるゼロトラストセグメンテーションなどの機能を検討する絶好の機会です。
来週も、サイバーセキュリティ啓発月間に再び焦点を当てるべきトピックに関するシリーズを続けます。
クラウドセキュリティについてもっと知りたいですか?電子ブックを読む: クラウドセキュリティについて知らないかもしれない5つのこと
