クラウドベンダーのサイバーセキュリティは十分ですか?

イルミオ クラウド セキュリティ インデックス 2023 によると、昨年、すべてのセキュリティ侵害の 47% がクラウドで発生しました。なぜそんなに多いのでしょうか?おそらく、組織はクラウドベンダーのセキュリティのみに依存しているのに対し、攻撃者は執拗でますます巧妙になっているためです。

クラウドに移行する企業が増えるにつれ、クラウドプロバイダーのセキュリティサービスだけでは不十分である可能性があることを知っておくことが重要です。クラウドプロバイダーは、ストレージ、コンピューティング、ネットワーキング、および物理インフラストラクチャを保護します。しかし、クラウドセキュリティにはまだバックストップが必要です。攻撃からより適切に保護し、アプリとデータを安全に保つには、可視性と制御を向上させることが重要です。  

クラウドセキュリティを無視すると、攻撃、データの損失、コンプライアンス違反のリスクにさらされる可能性があります。  

クラウドをサイバー攻撃から守るために、クラウドプロバイダーのセキュリティだけに頼ることができない理由をご覧ください。

クラウドにおける責任共有モデルとは何ですか?

Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP) などのクラウド プロバイダーは、多くの場合、責任共有モデルの下でセキュリティを推進しています。このモデルでは、クラウドプロバイダーと顧客の間でセキュリティ責任がどのように共有されるかを説明しています。

• プロバイダーは、物理データセンター、ハードウェア、ベーシックソフトウェアなどの クラウドインフラストラクチャを保護します。

• お客様は、クラウドに保存した データとアプリケーション を保護します。また、クラウド設定の設定方法も担当します。

このモデルはタスクを明確に分割していますが、誤った安心感を生み出す可能性があります。実際、多くのセキュリティ専門家は、このモデルを「不均一な握手」と呼んでいます。クラウドプロバイダーの強力なインフラストラクチャセキュリティは、クラウド内の組織のすべての資産を保護するのに十分であると考えがちです。

しかし、クラウドの組み込みセキュリティだけに頼ると、大きなギャップや盲点が残る可能性があります。セキュリティチームはこれらのリスクを認識し、独自のクラウドセキュリティソリューションで対処する必要があります。

クラウドにおける5つの最大のセキュリティギャップ

今日のクラウドベンダーは、強力なインフラストラクチャセキュリティをソリューションに組み込んでいます。これは侵害やランサムウェア攻撃を防ぐのに役立ちますが、クラウドセキュリティのリスクを完全に軽減するには十分ではありません。攻撃者は、クラウドインフラストラクチャのみに焦点を当てたセキュリティによって残されたギャップを悪用することができます。  

クラウドで最も一般的なセキュリティギャップを 5 つ紹介します。

• アプリケーションのセキュリティ:クラウドプロバイダーはインフラストラクチャが安全であることを確認しますが、顧客はアプリケーションのセキュリティを処理する必要があります。クラウドは常に変化しているため、アプリケーション、ユーザー、リソースがどのように相互作用するかを追跡することは困難です。この知識がなければ、アプリケーションを完全に保護することはほぼ不可能です。これにより、ランサムウェア、SQL インジェクション、クロスサイト スクリプティング (XSS)、サービス拒否 (DoS) などの攻撃にさらされる可能性があります。‍
• データセキュリティ: クラウドベンダーは保存データを暗号化しますが、顧客は保存中と転送中の両方でデータを保護する必要があります。さまざまなクラウド環境間で一貫したセキュリティがなければ、ギャップが生じる可能性があります。単一のプラットフォーム上で、クラウド、エンドポイント、データセンター全体のデータを保護できるセキュリティソリューションを使用することが重要です。‍
• クラウド設定の構成ミス: クラウドセキュリティの最大の問題の1つは、設定が正しく設定されていないことです。安全なデフォルト設定を使用し、定期的なチェックを行い、ベスト プラクティスに従って、クラウドを正しく構成することが重要です。AWS Config、Azure Policy、Google Cloud の Config Validator などのツールは、これらの設定の監視と適用に役立ちます。しかし、これらのツールを適切に使用し、管理するのは顧客の仕事です。‍
• 可視性の欠如: クラウドは非常に頻繁に変更されるため、ハイブリッドマルチクラウド全体ですべてが起こっていることを確認することは困難です。可視性が低いと、セキュリティチームがクラウドで何が実行されているかを知ることが困難になります。クラウドベンダーは、自社のプラットフォームで何が起こっているかを示すことはできますが、ネットワーク全体ですべてを表示することはできません。これにより、交通監視に盲点が残ります。‍
• コンプライアンスの問題: 業界や地域によっては、GDPR、HIPAA、PCI-DSSなどのセキュリティ標準など、特定のサイバーセキュリティ規制があります。クラウドプロバイダーはコンプライアンス認定を取得していますが、組織はクラウドを使用する際にこれらのルールに従っている必要があります。これは、データの保存場所を管理し、定期的にチェックを行い、詳細な記録を保持することを意味します。

うまくいかないクラウドセキュリティアプローチ

多くのセキュリティチームは、クラウドベンダーが提供できる以上のセキュリティレイヤーが必要であることをすでに認識しています。しかし、クラウドセキュリティに関する誤った情報が非常に多いため、多くのチームは脆弱性を残し続けるアプローチを選択しています。

クラウドセキュリティの構築に関しては、近道をしないでください。クラウドを完全に保護するには十分ではないこれらの一般的なクラウドセキュリティアプローチを必ず認識してください。

従来のオンプレミス セキュリティ

オンプレミスのデータセンターからクラウドに資産を移行する場合、 従来のサイバーセキュリティ が続くとは期待できません。オンプレミスでうまく機能するセキュリティツールは、クラウドでは苦戦します。

これは、従来のセキュリティ慣行がネットワーク境界の概念に依存しているためです。明確なネットワーク境界により、ファイアウォール、侵入検知システム、その他のセキュリティ対策によってネットワークを保護できます。  

しかし、クラウドは柔軟で弾力性があるように設計されており、必要に応じてリソースをスケールアップおよびスケールダウンできます。Teams は、サーバーとそのセキュリティを管理するサードパーティ ベンダーを使用してクラウドネイティブ アプリを構築して実行することもできます。これは、以前はオンプレミスのデータセンターの物理サーバーでのみ発生し、すべてがその場所で管理されていました。

これらの重要な違いにより、従来の固定ネットワーク境界はより流動的になり、多くの場合、境界がぼやけたり、完全に消去されたりします。この定義された境界がなければ、従来のオンプレミス セキュリティでは保護にギャップが残ります。

脆弱性管理ツール

従来のオンプレミス セキュリティ ソリューションによって生じるギャップに対処するために、多くの組織が脆弱性管理アプローチを使用してきました。これらのツールはスキャンします

既知の脆弱性に対するシステムとアプリケーション、パッチの適用。  

しかし、これらのツールにはいくつかの重要な課題があります。

• 未知の脆弱性を見逃したり、急速に変化するアプリケーションやワークロードに追いつかなかったりする可能性があります。

• ホストやシステムのスキャンには優れていますが、クラウド環境の複雑なトラフィックフローを十分に可視化できません。これにより、異常や潜在的な脆弱性を見つけることが困難になります。

• 問題を完全に解決するのではなく、問題を特定することに重点を置いているため、完全なセキュリティは提供されません。

クラウドネイティブのセキュリティプラットフォーム

CNAPP、CSPM、CWPP、CIEM などのクラウドネイティブ プラットフォームは、クラウド専用のセキュリティを提供します。しかし、クラウド環境を完全に保護するために必要な粒度、リアルタイムの適応性、包括的な可視性が欠けている可能性があります。これらのツールは、攻撃を封じ込めるためにネットワーク全体に可視性とセキュリティ制御を拡張するセキュリティソリューションと組み合わせる必要があります。  

クラウドセキュリティの課題の詳細については、 ガイド をお読みください。

ゼロトラストセグメンテーション:ハイブリッドマルチクラウド全体で一貫したセキュリティ

クラウドセキュリティの鍵は一貫性です。クラウドセキュリティのアプローチの多くは、孤立したセキュリティと可視性のギャップを生み出すために失敗します。ネットワークのトラフィックフローをリアルタイムで確認し、すべての環境とクラウドプラットフォームに詳細で柔軟なセキュリティを適用することが重要です。

これを行う最善の方法は、「決して信頼せず、常に検証する」ことを意味する ゼロトラストセキュリティ戦略を採用することです。ゼロトラストセグメンテーション(ZTS) は、ゼロトラストの重要な部分です。それなしではゼロトラストを実現できません。

攻撃を検出したり、潜在的な脆弱性を特定したりすることしかできない従来のセキュリティツールとは異なり、ZTSは、ハイブリッドのマルチクラウド攻撃対象領域全体でマイクロセグメンテーションに一貫したアプローチを提供します。これにより、リスクを理解し、プロアクティブなセキュリティ制御を設定し、クラウド、エンドポイント、データセンター環境全体でのランサムウェアや侵害の拡散を阻止できます。

Illumio CloudSecureで堅牢なエンドツーエンドのクラウドセキュリティを構築

Illumio CloudSecure は、ゼロトラストセグメンテーションをクラウドに拡張します。

• エンドツーエンドのクラウドの可視性: クラウド トラフィック フロー、リソース、メタデータを表示します。

• クラウド攻撃にプロアクティブに備える: ワークロードラベルと IP アドレスを使用してセキュリティ制御を構築し、テストします。アプリケーション間の信頼できる通信を作成します。

• クラウド攻撃を封じ込める: 絶えず変化するクラウド環境でも、セグメンテーションポリシーをリアルタイムで適応させることで、攻撃者がネットワークに拡散するのを阻止します。

Illumio CloudSecureを試乗してください。今すぐ 30 日間の無料トライアルを開始してください。