データセンターとクラウドのセキュリティ — 革命が必要な理由

イルミオのCTOであるPJカーナーによるブログシリーズを紹介し、データセンターとクラウドのセキュリティを新しい方法で考え、アプリケーション環境全体で進化する要件に合わせてアプローチを再調整するのに役立つ主要な概念を取り上げます。

革命が起こるのには正当な理由があります。それらは期待と現実の乖離の結果であり、鬱積したフラストレーションを引き起こし、変化の必要性を押し上げます。古い方法はもはや新しい要件に合致せず、圧力は沸点に達し、その変更を行う以外に選択肢はありません。 

アプリケーション、データセンター、クラウドの進化により、セキュリティは限界に達し、チョークポイントやネットワークベースのアプローチなどの古い方法は、アプリケーションチームの新しい要件に合わなくなりました。これらのチームは、リソース使用率とアプリケーション配信の新しいモデルに慣れており、後戻りはできません。セキュリティに革命を起こす時が来ました。

データセンターからの圧力

過去 10 年半でデータセンターが急速に進化し、リソースをより有効に活用し、新たなレベルの規模を実現し、かつてないほど迅速に行動できるようになりました。アプリケーションが多かれ少なかれ静的で、すべてがプライベートデータセンターに存在すると想定する時代は終わりました。

消費、規模、速度の新たなレベルにより、セキュリティチームに新たな課題とプレッシャーが生じています。

• 仮想化により、コンピューティング、ネットワーク、ストレージのコアデータセンターリソースが抽象化され、ワークロードの移植性と適応性が向上し、アプリケーションのスケーラビリティと回復力が向上しました。
• クラウドは、オンデマンドの柔軟な環境を構築し、オンデマンドのインフラストラクチャのニーズを満たすことができ、消費を容易にし、利用をより効率的にしました。
• コンテナは今日の環境でますます一般的になってきており、アプリケーションやサービスを迅速に開発、構築、パッケージ化することができます。
   

アプリケーションからの圧力

進化とイノベーションの分野はインフラストラクチャだけではありません。アプリケーションの開発と提供の方法にも同様の変化が見られました。継続的インテグレーションと継続的デリバリー (CI/CD) のおかげで、ソフトウェアデリバリーライフサイクル (SDLC) 全体にわたる私たちの期待は進化しました。現在、ソフトウェアの開発と提供は、従来のリリースベースのアプローチよりも迅速かつ流動的になることが期待されています。

多くの人にとって、チームが部屋に入って、今後の本稼働日の詳細を計画できる明確なリリースサイクルの時代は終わりました。毎週、場合によっては毎日、場合によっては一日に数回、新しいコードが開発され、本番環境にプッシュされています。

モノリシック アプリケーションは、マイクロサービス アーキテクチャに取って代わられました。アプリケーション自体と関連するサービスアーキテクチャもより複雑になり、そのコンポーネントの接続性も高まっています。アプリケーションは環境全体のデータとサービスに依存しており、過去に見たことのない東西通信が飛躍的に増加しています。

相互接続が増えると、経路が開かれ、防御すべき攻撃対象領域が拡大し、ビジネスへのリスクが増大する可能性があります。さらに、コンテナの一時的な性質に加えて、それらの環境間の接続性により、セキュリティにまったく新しい一連の課題が生じます。

DevOps の動きにより、開発者と運用チームが結集し、アプリケーションとインフラストラクチャの俊敏性に対するニーズが高まっています。しかし、この運動の第一世代はセキュリティをループから除外しました。多くの人にとって、セキュリティへの関与は進歩と迅速な展開の哲学の障害と見なされ、場合によってはセキュリティを完全に回避する原因となりました。

セキュリティが追いついていない

データセンターのインフラストラクチャとアプリケーションの進化により、組織はソフトウェア主導になり、かつてないほど急速に動きます。セキュリティは常に重要ですが、組織がビジネスを推進するためにソフトウェアへの依存度を高めるにつれて、ビジネスリスクを最小限に抑えるためにセキュリティを適切に行うことがますます重要になっています。間違えると、データの損失、収益への影響、ブランドへの永続的な影響、さらにはコンプライアンスに関連するペナルティにつながる可能性があります。セキュリティは、インフラストラクチャとアプリケーション全体で見られる進化に追いついていません。

ポリシーを適用するための従来のネットワークベースのチョークポイントソリューションは、実用的ではないだけでなく、設計して展開することがまったく不可能です。アプリケーションは各部分の合計であり、場合によってはデータセンターやクラウドに分散されているため、ポリシーを一貫して適用することの複雑さは大きな課題となる可能性があります。アプリケーションインフラストラクチャがますます動的になっているという事実と相まって、ポリシーを動きや規模と同期させることは不可能に近い場合があります。

進化するセキュリティの目標の 1 つは、攻撃者の優位性からバランスをシフトし、防御側の強みを活用することです。

攻撃者でさえ、最新のセキュリティアプローチを打ち負かすように進化しています。バランスをディフェンダーに有利にシフトするには、脅威に対して反応的であることから、ゲームを積極的に変えてディフェンダーにコントロールを取り戻すモデルに移行するモデルが必要です。そのためには、新しい方法でセキュリティに取り組み、アプリケーション環境とその保護方法について異なる考え方をする必要があります。

現在のセキュリティアプローチは、完全に障害ではないにしても、道のりを阻み、進歩を遅らせる可能性があります。従来の道をたどり続けると、開発チームがセキュリティを回避する方法を模索し、効率を維持するために必要なペースで前進し続けるリスクがあります。

この効率性の必要性は、セキュリティを再考し、データセンター全体で見られた進化とよりよく一致させる必要がある理由の1つです。

最新のアプリケーション環境のための進化するセキュリティ

今日のほとんどのセキュリティソリューションは、物事の動きが遅く、多かれ少なかれ静的であるという古い仮定に基づいていますが、現実はもはや真実ではないことを私たちは知っています。

まだ完全な影響を感じていない場合でも、ビジネスはますますソフトウェアによって推進され、アプリケーションの動きは速くなり、アプリケーション環境はより複雑で異種化しており、データセンターと クラウドのセキュリティに革命が求められています。

仮想化やIaaSなどのテクノロジーは、アプリケーション要件により適したインフラストラクチャを抽象化しています。セキュリティについても同様の方法で考える必要があります。

アプリケーションとビジネスプロセスのコンテキストでワークロードを確認することは、リスクを理解し、ポリシーを構築するための最良の方法です。また、組織内のすべてのチームが理解できる唯一の共通言語でもあります。アプリケーション開発チームは、ネットワーク (IP アドレスとポート) のコンテキストでアプリ環境について考えません。彼らは、そのアプリケーションのコンポーネント、それらがどのように関連し、どのように連携するかというコンテキストでそれについて考えます。

同じことが、プロセス、関連するアプリケーションとサービス、およびそれらがすべて連携してビジネス要件に対処する方法について考えるビジネス プロセス所有者にも当てはまります。

この視点の変化は基礎であり、新しいアプローチへの扉を開くための第一歩です。これは、プラットフォームや場所に分散し、需要に合わせて動的に移動およびスケーリングする最新のアプリケーション環境に適応するセキュリティを構築する唯一の方法です。

次回の投稿では、アプリケーション中心のマップがなぜ重要なのか、そしてそれがセキュリティの再考と進化の基盤となる方法について説明します。

編集者注: 次の投稿を読んでください。 「セキュリティを進化させるには地図が必要です。」