業界トレンド

ダイナミッククラウド環境のセキュリティ要件への対応

投稿者 Lior Cohen | 2020年9月15日

クラウドコンピューティングは、組織がITソリューションを利用および導入する方法に変革をもたらしました。特に、テレワーク推進をサポートするITソリューションは、組織に大きな変化を与えています。クラウドへの移行の結果、コンピューティングは、共有インフラストラクチャを中核とする利用型モデルへと急速に進んでいます。ネットワーク、ストレージ、サーバー、データセンターを共有するこの新たなモデルを採用する組織は、こうした抜本的な再設計にリスクが伴うことを理解することが重要です。

IDGが行った2020年度のクラウドコンピューティングに関する調査によると、コンピューティングインフラストラクチャの一部、つまりアプリケーションを1つでもクラウドで稼働している組織は、2018年の73%から81%へと増加しています。さらに、専用のオンプレミスモデルが8%であるのに対して、一部でもクラウド上に実装されているIT環境は92%を占めます。クラウドの普及に伴って脅威も変化しており、巧妙かつ複雑になっています。また、成熟度が非常に低いセキュリティインフラストラクチャが採用されている新たなネットワーク接続環境は、格好の標的となっています。クラウドによってデータフローが変わったため、セキュリティチームは、従来のサイバー攻撃対策とは別の方法を検討すべきです。また、数多くのシステムが相互接続されているため、クラウド内にあるサービス間の「水平方向」トラフィック、クラウド制御プレーンのユーザーインタフェースとAPIへの接続にも注目しなければなりません。

この課題を解決するには、いくつかの重要な概念を理解し、これまでのセキュリティの前提を見直す必要があります。ここでは、パブリック / プライベート / ハイブリッドクラウド環境で威力を発揮するために必要なクラウドセキュリティソリューションの重要要素について解説します。

パブリッククラウドのセキュリティ

ここ最近まで、多くの組織は「システムやネットワークを他の組織と共有するという点でセキュリティに懸念がある」として、パブリッククラウドへの移行に消極的でした。このような不安を解消するためには、パブリッククラウドセキュリティに関する責任共有モデルとプロバイダーの統合という2つのポイントを理解する必要があります。

責任共有モデル

責任共有モデルとは主に、クラウドのセキュリティ保護を担当するセキュリティチームが採用するアプローチを指します。これは、クラウドセキュリティの全責任をクラウドプロバイダーが負うのではなく、クラウドセキュリティソリューションの柔軟性を高めることでクラウド環境に必要なレベルのセキュリティ保護をサポートし、パフォーマンス、拡張性、マルチクラウドの相互運用性といった問題も解決するという概念です。

クラウドを採用する組織にとって、セキュリティ保護の責任を誰が担うか(自社かクラウドプロバイダーか)を理解することが重要です。また、責任共有を誤解し、そこからリスクが生まれないようにする必要もあります。

「セキュリティを含むすべてをクラウドプロバイダーが担う」という前提は、パブリッククラウドセキュリティを新たに取り組む組織が陥りやすい誤解です。責任共有モデルでのプロバイダーの役割は、クラウドインフラストラクチャをセキュアに保護し、リスクにならないようにテナントを分離することで、コンピューティング、ストレージ、ネットワーキングを的確に保護することにあります。また、クラウドサービスを効果的にセキュリティ保護する機能を、顧客が導入できるようにする責任も担います。

プロバイダーの統合

クラウドが登場する前のセキュリティソリューションでは、ほとんどの場合、新たなクラウド環境を十分に可視化することはできませんでした。このような古いソリューションは、アプライアンスまたはホストベースのいずれかで実装されます。このようなソリューションを、さらに複雑なAPIベースのクラウド環境の保護を目的に導入しても、エンドツーエンドの可視化や保護を実現することはできません。さらに、プロバイダーは、パブリッククラウドセキュリティを自社のリソースとシームレスに統合し、クラウドネイティブである必要があります。

また、可視化と制御を実現するには、主要なパブリッククラウドプロバイダーが提供する複数のクラウドサービスを、クラウドネイティブな方法で緊密に統合し、ワークロードをセキュリティ保護しなければなりません。これらは拡張性の向上、自動化、市場投入に要する時間の短縮といったメリットをもたらしますが、実現できるのは、完全に統合されたソリューションだけです。また、一元管理、オープンAPIの統合、従量制課金、自動化、クラウドプラットフォームオーケストレーションへの対応も必要です。

プライベートクラウドのセキュリティ

俊敏性、革新性、ソフトウェア制御、コスト効率性を備えた環境へとデータセンターが移行する上で、仮想化は非常に重要な役割を果たしてきました。プライベートクラウドにはこのようなメリットがあるものの、その導入において、セキュリティは単なる付け足しとして考えられがちです。セキュリティをできるだけ効果的に実装するには、プライベートクラウドソリューションはこの新しいソフトウェア中心のアプローチを無理なくサポートしなければなりません。

ソフトウェア制御のセキュリティ

SDN(Software Defined Networking)の普及により、ネットワーキングリソースはもはや、専用の物理ハードウェアの枠に収まらなくなっています。リソースは、データセンターでホスティングされるサービスとして稼働するものの、物理デバイスや仮想デバイス、およびさまざまな場所に分散しています。したがって、単にハードウェアをセキュアに保護するだけでは、十分なセキュリティを実現することはできません。セキュリティという概念を拡大し、ビジネス要件のリアルタイムの変化に応じて動的に再構成 / プロビジョニングできるサービスも網羅する必要があります。

フォーティネットのソフトウェア制御によるセキュリティソリューションは、業界トップのSDN / 仮想化 / NFV(ネットワーク機能仮想化)プラットフォームで認定されており、プライベートクラウド環境、またはハイブリッドクラウド環境へと移行したデータセンターで使用できます。

アプリケーション中心のセキュリティ

アプリケーションはどれも同じ設計というわけではなく、プライベートクラウド内にある同じ物理インフラストラクチャを共有するとしても、リスクの大きさは個々に異なります。したがって、アプリケーションのセグメンテーション機能と、リスクの性質に合った機能を適用する機能を備えたセキュリティソリューションが必要になります。マイクロセグメンテーションは、トラフィックをタイプごとに区分化する機能であり、水平方向トラフィックが増加するソフトウェア制御の環境において特に重要な役割を果たします。

ハイブリッドクラウド

ハイブリッドクラウド環境とは、パブリッククラウドとプライベートクラウドの中間に位置します。混合型であるため、効果的なセキュリティソリューションの選定が最も難しい環境だと言えます。プライベートクラウドとパブリッククラウドにはデータなどのデジタル資産が分散しているため、セキュリティチームが環境全体を把握し、どのような課題があるのかを理解するには、ハイブリッドクラウド環境全体の可視化が極めて重要です。エンドツーエンドの管理、セグメンテーション、あらゆる接続の一貫したセキュリティ保護は、ハイブリッドクラウドセキュリティソリューションで最優先すべき機能です。

一元管理

ハイブリッドクラウド環境は、複雑な物理 / 仮想環境であるため管理が難しく、ポイントソリューションがサイロ化しているため、単一の管理インタフェースでは十分な管理はできません。したがって、クラウド内で稼働するすべてのシステムを単一ビューで可視化し、一元管理を可能にする機能を備えたクラウドセキュリティソリューションが必要です。この一元管理のアプローチでは、ネットワーク全体でのデータフロー追跡と一貫したセキュリティポリシー適用に加えて、一元的な脅威インテリジェンスによって意志決定の精度を高める点を考慮しなければなりません。

たとえば、フォーティネット セキュリティ ファブリックがあれば、オンプレミスとマルチクラウドの両方において、デジタル攻撃対象領域全体で一貫したセキュリティと可視化を実現できます。主要なクラウドプロバイダーとプライベートクラウドインフラストラクチャとのネイティブ統合を特徴とするこのファブリックは、セキュリティインフラストラクチャ全体の管理を自動化し、単一ビューで一元管理します。さらに、フォーティネット ファブリック コネクタは、複数のパブリッククラウドプロバイダーとプライベートクラウドプラットフォーム全体でオープンなAPIベースの統合とオーケストレーションを実現し、分散したハイブリッド環境においてセキュリティの自動化と管理の簡素化を可能にします。

セグメンテーション

公衆やサードパーティに開かれたネットワーク上に社内リソースが存在する場合、クラウド全体のトラフィックとシステムのセグメンテーションは非常に重要です。混合(ハイブリッド)環境では、この環境に関連しないビジネスクリティカルなアプリケーションとワークロードは保護の対象外になる可能性があります。したがって、ハイブリッド環境でセキュリティ侵害を最小限に抑える上で、セグメンテーションは極めて重要な役割を果たします。

セキュアな接続

ハイブリッドクラウド環境では、サードパーティサービスを社内ネットワークに接続するなど、データ、ワークフロー、アプリケーションを社外と社内間で移動する必要があります。このような接続には、固有のリスクが存在します。それぞれのネットワーク接続のリスク特性に基づいて、すべての接続に最適な保護を提供する機能を備えたハイブリッドクラウドセキュリティソリューションが必要です。この複雑なインフラストラクチャのセキュリティ保護戦略の一部として、ハイブリッドクラウドセキュリティは、オンデマンドの仮想プライベートネットワーク(VPN)向けに、必要に応じてセキュアなアクセスを一時的に許可すると同時に、ネットワークの他の部分を保護する機能を提供しなければなりません。

ダイナミッククラウドセキュリティ環境

クラウドの採用がもたらした激変を、セキュリティの専門家は目の当たりにしてきました。外部からの脅威への対策としてセキュリティ境界を明確に定義する作業は、もはやセキュリティの専門家が取り組むべき主要な課題ではありません。クラウドが可能にするコラボレーションと個々にアクセスされるクラウドサービスの時代、このようなセキュリティ境界は消滅したも同然です。ITの専門家がネットワークとデータを保護するセキュリティソリューションを選択する場合には、パブリック / プライベート / ハイブリッドのどのタイプの環境で求められる要件をも満たすことができ、絶えず変化するインフラストラクチャ間でデータが移動するリスクを最小限に抑えることのできるソリューションを選ぶ必要があります。

フォーティネットのダイナミッククラウドセキュリティソリューションを導入することで、どのようにクラウドインストラクチャ全体で強化された可視性と制御を提供し、またデータセンターからクラウドに至る安全なアプリケーションと接続を確保しているか、詳細をご確認ください。

以下のケーススタディ(英語)では、Hillsborough Community CollegeWeLabがフォーティネットのダイナミッククラウドセキュリティソリューションを実装し、データセンターからクラウドへのセキュアな接続を実現した成功事例を紹介しています。