クラウド セキュリティの考慮事項 トップ3

適切なクラウド セキュリティには、ゼロトラストの原則と集中管理されたセキュリティの導入に基づく、セグメント化されたビジネス アプリケーションが欠かせません。

データセンターは、許可されたユーザーだけがアクセスできる専用サーバ上でアプリケーションが実行される固定された環境です。対照的に、クラウド環境は動的で自動化されており、コンピューティング リソースのプールを利用して、いつでもどこでも、あらゆるデバイスからアクセスできるアプリケーション ワークロードをサポートできます。(経験豊富な)情報セキュリティ担当者には、クラウド コンピューティングを魅力的なものにしている原則の多くが、ネットワーク セキュリティのベストプラクティスに相反するもののように感じられます。以降では、従来およびクラウドベースのデータセンターのセキュリティ保護における考慮事項トップ3と、クラウド セキュリティの主な要件をご紹介します。

 

クラウド コンピューティングは既存ネットワーク セキュリティのリスクを軽減しない

現在データセンターやネットワークを脅かしているセキュリティ リスクは、アプリケーションをクラウドに移動すると、それが完全な移行か、一部のアプリケーションをクラウドに移動し、その他はオンプレミスに残すハイブリッド シナリオかにかかわらず、変化します。実際には、ある意味、クラウドに移動すると直面するセキュリティ リスクは増大します。

例えば、多くのデータセンター アプリケーションは広範なポートを使用しており、それらのアプリケーションがクラウドに移動されると、従来のセキュリティ対策の効果がなくなります。サイバー犯罪者は、巧妙なポート非依存攻撃を仕掛け、複数の侵入経路を使用して標的を侵害し、一般のアプリケーションの陰に隠れて目的を完遂します。

 

セキュリティ保護には分離とセグメント化が必要だが、クラウドは共有リソースに依存する

何十年もの間、情報セキュリティのベスト プラクティスでは、ミッション クリティカルなアプリケーションとデータをネットワーク上の安全なセグメントに分離するよう指示されていました。多くの場合、それは「決して信頼せず、常に検証する」という概念であるゼロトラストと呼ばれます。

エンタープライズ データセンター内の物理ネットワークの場合、ゼロトラストはアプリケーションとユーザーの識別情報に基づくポリシーによって管理され、ファイアウォールとVLAN (仮想LAN)を使用することで、比較的容易に実装できます。

クラウド コンピューティング環境では、特定のサーバ内の仮想マシン間、また場合によっては多様な信頼レベル間で直接通信が行われます。これによりセグメント化が困難になりますが、特にクラウド アプリケーションが共有リソースの概念に基づいていることを考えるとなおさらです。さらに、仮想化されたポート ベースのセキュリティによってホスト間トラフィックの可視性が欠如している場合は、多様な信頼レベルにより、セキュリティ体制が弱体化する可能性があります。

 

セキュリティ導入はプロセス指向だが、クラウド コンピューティング環境は動的である

仮想ワークロードの作成や変更は、多くの場合数分で実行されます。つまり、クラウド コンピューティング チームはワークロードの追加、削除、変更が絶えず実行される高度に動的な環境で作業するということです。

対照的に、そのワークロードに対するセキュリティの設定には、数時間、数日、あるいは数週間かかる場合があります。セキュリティの設定を遅らせてわざと障害を生み出しているのではありません。強力なセキュリティ体制を維持するためのプロセスを適用すれば時間がかかるのです。ポリシー変更の承認、適切なファイアウォールの特定、関連ポリシーの更新決定など、するべきことがたくさんあります。

このような不均衡がクラウドへの移行の一環として理解され、対応されない限り、セキュリティ ポリシーとクラウド ワークロードの導入の間に不一致が生じることになります。その結果、セキュリティ体制が弱体化して重要なデータや知的財産が危険にさらされる可能性があるとともに、コンプライアンスやガバナンスに関するポリシーや規制への違反が生じることも考えられます。

 

クラウドのセキュリティ保護に関する主要な要件

  • 物理的および仮想化のフォーム ファクタでセキュリティ上の矛盾をなくす。クラウド コンピューティング環境と物理ネットワークの両方を、同レベルのアプリケーション制御、不正および誤った設定のアプリケーションへの対応、脅威の防御によって保護する必要があります。
  • ゼロトラストの概念に則りビジネス アプリケーションをセグメント化する。現在、コンピューティング リソースを最大限に活用するために、同じリソースに対して異なる信頼レベルのアプリケーション ワークロードを混在させることはかなり一般的な手法になっています。その目標は、脅威の横方向の移動を防ぐとともに、ワークロード間のトラフィックを制御することです。
  • セキュリティ導入を集中管理し、ポリシーの更新を合理化する。物理的ネットワーク セキュリティは現在もほとんどすべての組織で導入されているため、共通の管理インフラストラクチャおよびインターフェイスを使用して一元的にハードウェアと仮想フォーム ファクタのデプロイメントの両方を管理する機能を保持していることが非常に重要です。選択されたソリューションは、物理環境と仮想環境を一貫したポリシー管理および適用フレームワークによって拡張できる必要があり、セキュリティ ポリシーの更新を自動化する機能を備えているべきです。

次世代ファイアウォールによる従来型データセンターとクラウド ベース データセンターの保護方法の詳細については、ホワイトペーパー「Securing the Virtualized Data Center with Next-Generation Firewalls」(次世代ファイアウォールによる仮想化されたデータセンターの保護)をご覧ください。