企業や組織によるデータ構築、導入、管理、収集の方法がクラウドによって一変したことは言うまでもありません。クラウドへの移行に伴い、企業がパフォーマンスを損なうことなくレイテンシの問題に対処し、セキュリティ要件を満たすためには、ユーザーやクラウドにリソースを近づけることが必要です。
ITサービスはクラウドの近くに配置されるため、マルチクラウドアーキテクチャがワークロード導入の手段としてますます検討されるようになっています。Flexeraが最近発表したレポートによると、企業の92%がマルチクラウド戦略を採用しています。ハイブリッドマルチクラウドのワークロードをより適切に移行および管理するためにマルチクラウドアーキテクチャを採用し、複数のクラウドとのインターコネクション(相互接続)を確立する企業が増えるにつれて、これらの戦略は実際の導入段階へと進展しています。実際、今日の組織で使用されているパブリッククラウドの平均数は2.6、プライベートクラウドは2.7、試験的に導入されているパブリッククラウドプラットフォームは1.1、プライベートクラウドプラットフォームは2.2の導入となります。[i]
システム内の複雑で相互接続された要素が多いほど、それらの要素を保護するのが難しくなるということは、まぎれもない事実です。ここでは、マルチクラウド環境を保護するためのセキュリティ上の課題と、データ、アプリケーション、およびクラウドサービスを保護するために利用できるツールとソリューションについて説明したいと思います。
ネットワークを最新化して、デジタル対応インフラストラクチャを仮想的に数分でエッジに導入
Network Edgeは、モジュラー型インフラストラクチャプラットフォーム上で運用される仮想ネットワークサービスを提供し、ネットワークサービスの即時導入と相互接続に最適化されています。追加のハードウェア要件を生じさせることなく、エッジでの仮想ネットワークサービスの選択、導入、および接続を数分で完了できる仕組みをご覧ください。
詳細はこちら
簡潔に言えば、企業が行う必要があるのは、オンサイトまたは企業のプライベートドメインに存在していた同様の制御機能を実装することです。また、アーキテクチャのあらゆるレベルで強力なセキュリティ体制を確立できるよう、マルチクラウド指向のアプローチで行うことも必要です。この変革に際して企業を保護するためには、一連の新たなセキュリティガードレールに加え、「何も信頼しない」ことを前提とする、いわゆるゼロトラストモデルが必要です。新たなセキュリティガードレールは、ユーザー、データ、コンテンツに近接している、高可用性と信頼性を備えた中立的な場所に実装する必要があります。
これらの目的を達成するには、マルチクラウド企業を保護するセキュリティ戦略に以下の要素を含める必要があります。
- クラウド、ネットワーク、エンタープライズ環境を通過するトラフィックの可視化
- すべてのクラウド環境で一貫したセキュリティポリシーを使用して、トラフィックの制御と管理を統合
- アクセス制御による企業のリソースとワークロードへのユーザーアクセスの有効化とトラッキング
これらの各側面について以下でさらに詳しく説明します。
可視化
複数のクラウド環境に分散したアプリケーションコンポーネントは、非常に複雑になる可能性があります。その結果、セキュリティの洞察から侵入を検知して、脅威が検出された場合に効果的な対応を自動化するアルゴリズムに加え、動的で適応性のあるトラフィック監視アプローチが必要となります。さらには、複数のクラウド環境やアプリケーション、サービスにわたって、すべてのトラフィックを監視してログに記録し、評価することも必要です。
分散型の監視機能と自動化されたイベント処理をクラウドのエッジに導入することで、この要件を満たすことが可能です。これにより、ネットワークセグメント、クラウドサービス、アプリケーションに加え、企業内を移動するすべてのトラフィックが可視化されるため、セキュリティの脅威を特定して、リアルタイムで対処できるようになります。
セキュリティポリシー
可視化した情報を適切なアクションに変換することが重要です。これを行うには、組織のシステム上のすべてのクラウドに一貫したポリシーを適用する必要があります。新しいセキュリティポリシーの数に制限はありませんが、多数のポリシーを組織全体に一貫して適用することは容易ではありません。ポリシーを適用しなければならないデータやユーザーアクティビティの多くは、組織のセキュリティ境界線の外側にあり、可視化されていません。インシデントが発生していることがわかっている場合でも、それを特定して停止するための(手動プロセス以外の)ポリシーを広範囲に適用することはできません。
そのため、セキュリティの問題を解決し、データを安全に処理するための手順を確立することに加え、各クラウド環境の個々の制約事項を考慮した明確なセキュリティポリシーを作成することが不可欠です。
ポリシーの執行は、攻撃が開始される可能性の高い、最も近い場所でリアルタイムに行う必要があります。そのため、セキュリティポリシーをクラウドに近接した場所に置くことが必要です。これらの制御を適用することで、パフォーマンスと拡張性が向上するだけでなく、エンタープライズアプリケーションの絶えず変化する性質に合わせて、セキュリティポリシーをリアルタイムで調整することもできます。
アクセス制御
個々のクラウド、ユーザーグループ、プロセス間に多くの相互依存関係があるマルチクラウド環境では、アプリケーションやサービスへのユーザーアクセスを制御する際に間違いを犯しがちです。ここで考えなければならないのが、誰がどのリソースとワークロードにアクセスできるようにすべきかです。一般的なゼロトラストモデルでは、各ユーザーまたはプロセスが、実際に必要なリソースにのみアクセスできるようにし、それ以外にはアクセスできないようにする必要があります。また、ユーザーとデータが絶えず変化していることを踏まえ、アクセス許可が継続的に更新されるようにすることも必要です。
エクイニクスとCheck Pointが企業による制御を支援
企業がマルチクラウド環境でセキュリティのレベルを引き上げるには、統合脅威防止を含むツールを実装して、クラウドとワークロード全体でアクティビティの異常を検出できるようにする必要があります。また、自動プロビジョニングと自動スケーリング、自動ポリシー更新をはじめとした自動化に加え、規制や業界標準への準拠を支援する高精度のポスチャー管理も必要です。
エクイニクスのNetwork EdgeサービスにCheck Point CloudGuard Network Securityを追加したことで、マルチクラウドアーキテクチャにこれらのセキュリティ機能を提供できるようになりました。Check Point CloudGuard Network SecurityをNetwork Edge上で運用することで、パブリッククラウドオンランプとオンプレミスインフラストラクチャとの間でCheck Pointの脅威対策テクノロジーを拡張できます。この機能は、クラウドとオンプレミスのすべての環境を対象に単一のソリューションを実装するだけで、(数週間または数か月ではなく)数分で導入でき、追加のハードウェアを必要としません。Network Edgeは、CloudGuardの新規導入に活用することも、既存のCloudGuardの実装をすばやく拡張する方法として活用することもできます。
Check Point CloudGuard Network Securityの多層防御セキュリティアーキテクチャは、極めて高度な攻撃からもデータを保護し、仮想化環境やプライベートクラウドデータセンター内で侵入後の脅威の範囲拡大を効果的に防ぎます。統合管理コンソールは、セキュリティの一貫性とともに脅威の完全な可視化と制御を実現して、仮想ネットワーク(パブリック/プライベート/ハイブリッド)と物理ネットワークの両方でポリシー管理を大幅に簡素化します。
マルチクラウドアーキテクチャへの移行に着手したばかりで、オンプレミスのセキュリティ機能しか持たない組織も、オンプレミスとクラウドのあらゆる環境で一貫した統合型のセキュリティ管理を実現できます。その上で、デジタルトランスフォーメーションの進展に伴い、簡単で迅速かつ安全なクラウドへの移行を、総所有コスト( Total Cost of Ownership, TCO)を最小限に抑えて実現できます。
Network Edgeがネットワークを最新化する仕組みをご確認ください。
CloudGuard Network Securityの利点に関する関連記事もご紹介しています。
[i] Flexera、『2021年クラウドの現状レポート』
Subscribe to the Equinix Blog