クラウド アーキテクト向けのゼロトラスト：Spring4Shellの教訓に基づく回復力に優れたワークロード設計

現代のデジタル環境は目まぐるしく変化しており、クラウド アーキテクトは分散したワークロードの管理と保護に関して、ますます大きな課題に直面しています。マイクロサービスとAPIはイノベーションにとって不可欠である一方、複雑さの増大、設定ミス、潜在的な脆弱性をもたらす可能性があります。近年明らかになったSpring4ShellとSpring Cloud Functionの脆弱性は、制御プレーンの露出や暗黙の信頼が組織にもたらし得る壊滅的な結果を浮き彫りにするものでした。

従来のファイアウォールベースのアーキテクチャーは十分に機能しなくなってきており、脅威対策の一貫性が失われ、攻撃対象領域と運用の複雑さは増大しています。現代の環境に必要なのは、シンプルでありながらも強力なアプローチ、すなわちゼロトラストです。Zscaler Zero Trust Cloudはこのゼロトラストを実現し、スケーラブルで合理的かつ安全なクラウド ワークロード運用を通じて組織の成功を支援します。

Spring4Shellの教訓：現代のイノベーションには現代の保護が必要

Spring4Shell (CVE-2022-22965)とSpring Cloud Function (CVE-2022-22963)の脆弱性は、現代の開発者やクラウド アーキテクトが直面する課題を示す典型的な事例です。Spring4ShellとSpring Cloud Functionは広く使用されているフレームワークであり、クラウドネイティブ アーキテクチャーに不可欠な存在ですが、リモート コードの実行、サービス内部構造の露出、その他の悪意のある行為に悪用されました。

この事例は、以下のような観点から重要な意味を持ちます。

• 攻撃対象領域の拡大：API、管理エンドポイント、ルーティング ヘッダーなどのリソースが機能するためには、外部からアクセス可能である必要があります。しかし、適切なセキュリティを講じずに公開すれば、弱点が悪用されやすくなります。
• 複雑さと拡張性：分散したマイクロサービスやマルチクラウド アーキテクチャーでは、提供速度を維持しながらワークロード全体に一貫したセキュリティ態勢を適用することがさらに困難になります。
• 従来型の限界：ファイアウォールベースのセグメンテーションや静的なポリシーでは動的なクラウド ワークロードに対応しきれず、アーキテクチャーに脆弱性が残ります。

Springの脆弱性に対するパッチは提供されていますが、管理プレーンの露出や寛容な信頼関係など、アーキテクチャー上の弱点は依然として残ります。これらの脆弱性は、システムにパッチを適用するだけで解決できる問題ではなく、安全でスケーラブルなワークロードを設計するには適応性のあるゼロトラスト アプローチが必要であることを示しています。

脆弱性とエクスプロイト手法の詳細については、ThreatLabzブログ(英語)でご確認ください。

Zscaler Zero Trust Cloud:ワークロードの確実な保護

Zscaler Zero Trust Cloudは、クラウド ワークロードに対するセキュリティの適用方法を再定義します。ゼロトラスト フレームワークを採用し、パブリック クラウド全体にわたり重要なアプリケーションを保護、セグメント化、接続します。Zero Trust Exchange™プラットフォームを活用することで、組織は次のことを実現できます。

• 運用の簡素化：断片的なセキュリティ ツールやポリシーを排除しながら、ワークロードの提供を加速させます。
• セキュリティの統合：従来のファイアウォールから脱却し、すべてのクラウド サービスにエンドツーエンドのワークロード保護を適用できるようにします。
• アクティブな脅威防御：Zscalerのクラウド型インテリジェンスとグローバルな規模を活用し、サイバー攻撃に対する一貫した保護を確保します。

Zero Trust Cloudによって、クラウド アーキテクトは次のことができるようになります。

1. アプリケーション層とワークロード層での正確なゼロトラスト セグメンテーションによる脅威のラテラル ムーブメントの排除
2. ファイアウォールやVPNなどの従来のアプライアンスへの依存の解消を通じた運用効率向上
3. ワークロード全体での機密データの保護とサイバー攻撃に対する防御の強化

Zero Trust Cloudは、柔軟な2つの展開オプションを提供しています。

• 仮想マシン(VM):お客様が管理します。

• Zero Trust Gateway: Zscalerが完全に管理し、手間のかからないシンプルなセキュリティ モデルを提供します。

   

Zero Trust CloudがSpring4Shellで浮き彫りになったリスクを解消する仕組み

Spring4Shellのインシデントの教訓から明らかなように、現代のクラウド環境を保護するにはゼロトラスト アプローチが重要です。Zscaler Zero Trust Cloudは、以下のような形で脆弱なワークロードの悪用を防止します。

管理プレーンの露出の排除：

Spring4ShellとSpring Cloud Functionの脆弱性には、ある共通点がありました。それは、攻撃者が公開されている管理エンドポイントを悪用できるということです。Zscaler Private Access (ZPA)を利用すると、次の方法で管理インターフェイスを最初から非公開にできます。

• アイデンティティーベースの認証
• 公開IPアドレスやオープンなインバウンド ポートの排除
• ポスチャー評価による高リスクなセッション状態の排除

ワークロード間の正確なセグメンテーション：

ラテラル ムーブメントのリスクは、ワークロードが許可なく通信できないようにすることで最小化できます。Zero Trust Cloudでは、次のことが可能です。

• クラウド、環境、クラスター間で通信するサービスのアプリケーション層(レイヤー7)のセグメント化
• 侵害されたワークロードに対して明示的な意図に基づいたアクセスのみを許可するゼロトラスト ポリシー

悪用の試みを検知するプロアクティブな検査：

Spring4Shell攻撃は、悪意のあるHTTPリクエストを用いてワークロードを侵害し、第2段階のペイロードを展開しました。Zscaler Internet Access (ZIA)は、次のような機能を提供してこれを防ぎます。

• クラウドIPSやWAAPを活用したインラインの保護(既知のSpring4Shellの悪用パターンをブロック)
• 隠れたペイロードや第2段階のマルウェアを大規模に検出するTLS/SSLインスペクション
• 未知のマルウェアを防止する高度な脅威対策やサンドボックスを活用したゼロデイ防御

送信元でのアウトバウンド トラフィックの制限：

侵害されたワークロードは多くの場合、コマンド＆コントロール(C2)サーバーへの接続や機密データの外部への転送を試みます。Zero Trust Cloudでは、次のことが可能です。

• 意図に基づくすべての送信トラフィックの制限(不明な宛先や異常な振る舞いをブロック)
• 新たな環境に合わせたのポリシー自動的な調整(手動更新は不要)

シンプルかつスケーラブルなクラウド ワークロード セキュリティ

Zscaler Zero Trust Cloudの強みは、セキュリティを簡素化しながら、イノベーションを促進できる点にあります。ファイアウォールやVPNなどの従来のアプローチから切り離すことで、クラウド アーキテクトは組織に次のメリットを提供できます。

• ワークロード提供の高速化：コンテナー、サーバーレス関数、マルチクラウド環境の運用を、サービスの遅延なく安全に接続します。
• 一元的なポリシーの施行：ワークロードの場所やクラウド アーキテクチャーを問わず、一貫した保護を確保します。
• 高度な可視性とインサイト：一元的な可視性によってワークロード通信を監視し、脅威を検出するとともに、インシデント対応を迅速化します。

Zscaler Zero Trust Cloudは、ネットワークではなく接続の保護に重点を置き、妥協なくデジタル トランスフォーメーションの目標達成に近づけるよう組織を支援します。

今、クラウド アーキテクトがゼロトラストを重視すべき理由

Spring4Shellの事例や類似した脅威の数々は、ある警鐘を鳴らしています。それは、セキュリティはワークロードに合わせて進化させなければならないということです。脆弱性によって初めて弱点が明らかになることもありますが、現代のアーキテクチャーはリスクを最小限に抑え、影響範囲を制御し、その設計によって重要なシステムを保護できなければなりません。

Zscaler Zero Trust Cloudを使用することで、クラウド アーキテクトは将来の変化に対応できる戦略を獲得し、一貫したスケーラブルな方法でワークロードを保護できるようになります。Kubernetes環境、サーバーレス関数、従来のアプリケーションのいずれを管理する場合でも、Zscalerはクラウド志向かつ分散した現代の組織のニーズに合わせてセキュリティを調整します。

イノベーションの詳細：Zero Trust Cloudによるクラウド セキュリティの変革

Zscaler Zero Trust Cloudのリリース イベントに参加して、クラウド ワークロードを保護するための実用的な戦略をご確認ください。主な内容は以下のとおりです。

• Spring4Shellのような脆弱性から重大なインシデントに発展することを防ぐZero Trust Cloudの仕組みを紹介します。
• 管理プレーンの保護、ワークロード セグメンテーションの施行、ラテラル ムーブメントのリスクを排除するための、アーキテクチャーに基づくアプローチ
• ライブ デモとZscalerのエキスパートの知見

参加登録はこちら(英語) (イベントは終了しました。現在はオンデマンドでご視聴いただけます)

Springの脆弱性とその潜在的な影響の詳細については、Zscaler ThreatLabzブログ(英語)でご確認ください。