アジア太平洋地域におけるホストベースのセキュリティの神話を払拭する

アジア太平洋地域全体でDevOps、ソフトウェア定義インフラストラクチャ、コンテナの勢いは、俊敏性の向上の必要性とハイブリッドまたはマルチクラウド環境の採用の増加から生まれたITの変革の証拠です。2019年の Forrester の調査によると、APAC企業の70%以上がプライベートクラウドとパブリッククラウドの使用を行っている、実装している、または拡大しており、60%以上が自社の環境をマルチクラウドを含むハイブリッドと表現しています。 

しかし、M-Trends 2020の報告によると、サイバー攻撃の規模と複雑さも増加し、侵害の滞留時間は改善されましたが(2019年は56日)、アジア太平洋地域の企業は依然として攻撃者によるリターゲティングで上位にランクされています。Forresterのレポートは、セキュリティがハイブリッドクラウドの成功に不可欠であり、最新のIT環境で最も考慮事項として報告されていることに同意しています。セキュリティソリューションがプライベートデータセンター、パブリッククラウド、さまざまな世代のテクノロジーをサポートする時代があったとすれば、それは今です。

ホストベースのセキュリティ制御は、従来、規模とセキュリティに関して本質的に影響力があり、脆弱であると考えられてきました。歴史的に、ホストベースのエージェントはリソースを消費し、システムのパフォーマンスに影響を与え、攻撃に対して脆弱であると見なされることがよく知られてきました。

APACの企業は、データセンター内のアプリケーションを管理する機密データのセグメント化と保護をサポートするソリューションをネットワークやインフラストラクチャに最初に目を向けることがほとんどですが、セキュリティチームはこれらの先入観に基づいてホストベースのセキュリティテクノロジーを却下することがよくあります。

この誤解は一般に、最新のハイブリッドクラウドや異種テクノロジー企業のニーズを満たすことができないプロジェクトにつながり、その結果、セキュリティカバレッジのギャップや誤った感覚、ネットワークやアプリケーションの可用性のリスクの増加、俊敏性への悪影響、革新的なITソリューションを採用する機会の妨げが生じます。 

ゼロトラストに焦点を当てたホストベースのマイクロセグメンテーションツールは、基盤となるインフラストラクチャやネットワークからセキュリティを切り離すもので、これらの懸念に悩まされることはありません。分散適用、最適化されたリーン運用、改ざん防止を通じて、分散ハイブリッドクラウド環境とDevOps開発プラクティスに対する地域の企業の要件にはるかに効果的に適合します。

ホストベースのマイクロセグメンテーションにオープンマインドになった企業に加わることで、俊敏性を損なうことなくより効率的なセキュリティが得られる理由をいくつか紹介します。

1. パフォーマンスの問題は適用されません。ウイルス対策や HIPS などの他のホストベースのセキュリティ製品とは異なり、ホストベースのマイクロセグメンテーションツールは、インラインではなく、フィルタリングや検査のためにカーネルからユーザー空間にトラフィックを転送しない軽量エージェントに基づいています。これらのエージェントは、接続テーブルを調べ、テレメトリを収集し、ワークロードの動作を報告し、試行錯誤されたネイティブ コントロールにポリシー適用を適用します。ほとんどの場合、バックグラウンドに残り、迅速かつ定期的に動作し、OS 内にすでに存在する機能は実行されません。
2. セキュリティ上の懸念に対処します。理論的には、悪意のあるユーザーは、制御がホスト自体の外部にある場合よりも簡単にホストを侵害し、セキュリティ制御をオーバーライドし、ハイブリッドクラウドインフラストラクチャ全体の他のすべてのワークロードにアクセスできるというものです。最新のホストベースのマイクロセグメンテーションツールは、分散ファイアウォールと改ざん防止によってこれを克服します。ホストが侵害され、エージェントまたはファイアウォールのポリシーに影響を与えるために権限が昇格した場合でも、ハッカーは通信する権限を持つワークロードにのみ接続できます。エージェントに組み込まれた改ざん防止により、侵害されたワークロードはそれらの変更を元に戻し、中央のポリシーマネージャーとセキュリティオペレーションセンター(SOC)に警告し、ホストを他のワークロードのポリシーモデルから外してネットワークからさらに分離することができます。
3. 多様なテクノロジーエコシステムがサポートされています。ITシステムのフットプリントを拡大する(置き換えるのではなく)によって技術的負債を被らない企業もありますが、セキュリティソリューションは、アジア全域の企業が現在、そして将来持つさまざまなホスティング環境とテクノロジー世代をサポートする上で一線性を提供する必要があります。ホストベースのマイクロセグメンテーションツールは、コンピューティング内に制御を適用することでこれを実現し、プライベート、パブリック、またはハイブリッドクラウド内の物理、仮想、およびコンテナ実行アプリケーションを単一の画面と単一のポリシーモデルからサポートします。
4. ビジネス・リスクは、ネットワーク・ベースのコントロール・ポイントの場所ではなく、セキュリティ・レベルを左右します。ラベル戦略を採用するホストベースのマイクロセグメンテーションエージェントは、可視性とポリシーをネットワークの制約から切り離します。アプリケーションがネットワーク境界に沿って適切に配置されることはめったになく、さまざまなレベルのセグメンテーションを必要とする拡張データセンター内のすべての領域にネットワーク中心の制御を配置することは費用対効果が高くありません。ラベルと ホストベースのアプローチを組み合わせることで、セグメンテーションがネットワークから切り離され、論理的なラベル境界に沿ってセグメント化が非常に簡単になり、ビジネスリスクとニーズに基づいて粗い制限またはきめ細かい制限を実装できます。
5. コスト面でのメリットがもたらされます。ネイティブホスト機能を活用することで、組織は、コストのかかるハードウェアとソフトウェアの導入、ネットワークとインフラストラクチャの侵害、タイムリーな変更管理プロセス、ネットワークのファブリック内で制御が採用された場合に必然的に発生するチョークポイント、および実行する環境とテクノロジーごとに複数のマイクロセグメンテーション制御を管理する必要性を回避できます。 

ほとんどの人は、「今日、本番サーバーにどのようなソフトウェアを追加で配置できるか」と考えて目が覚めないことを理解しています。とはいえ、ホストベースのマイクロセグメンテーションソリューションを古風なブラシで描くのはやめましょう。APAC(および世界中の)の組織は、イルミオでマイクロセグメンテーションの目標を実現するための第一歩を踏み出すことで、現在および将来得られる俊敏性とセキュリティについて考える必要があります。

このアプローチが実際にどれほど効果的か興味がありますか?キャセイパシフィック航空、QBE、BEA、ニューサウスウェールズ州教育省、CLP などの 組織は 、従来のネットワーク中心または SDN アプローチを試した後、ホストベースのマイクロセグメンテーションの利点を認識しています。

詳細については、オーストラリアとニュージーランド の化学産業市場のリーダー である Ixom が、重要なシステムへの不正アクセスを防止し、脆弱性とリスクエクスポージャーを制限するためにホストベースのマイクロセグメンテーションを実装した方法をご覧ください。