/ クラウド エンクレーブとは
クラウド エンクレーブとは
クラウド エンクレーブは、クラウド環境を安全で分離されたゾーンに分割することで、アクセスの制限、セキュリティの強化、データ侵害の防止を可能にします。ソフトウェア定義境界(SDP)、アイデンティティーベースのポリシー、アクセス制御などのツールにより、機密性の高いリソースを保護します。クラウド エンクレーブは、クラウド ワークロード セグメンテーションやマイクロセグメンテーションと密接に関連しています。
概要
• クラウド エンクレーブは、クラウド環境に安全なゾーンを作成することで、ワークロードを分離し、機密性の高いリソースを保護します。
• アイデンティティーベースのポリシーとマイクロセグメンテーションにより、攻撃対象領域の削減、ラテラル ムーブメントの阻止、防御の強化を実現します。
• ネットワーク セグメンテーションと異なり、クラウド エンクレーブはハイブリッド クラウド環境とマルチクラウド環境においてコンテキスト認識型の動的なセキュリティを提供します。
• クラウド エンクレーブをゼロトラストやマイクロセグメンテーションと組み合わせることで、一貫した保護、可視性の向上、管理の簡素化を確保します。
• Zscaler Zero Trust Cloudは、セキュリティの統合、複雑さの排除、展開の加速によってクラウド エンクレーブを強化します。
現代のセキュリティにクラウド エンクレーブが不可欠な理由
クラウド エンクレーブは、機密性の高いリソースを安全なゾーンに分離することで、セキュリティを向上させて、侵害の影響範囲を制限します。これにより、高度なサイバー攻撃からワークロードとデータを保護する構造を提供し、マイクロセグメンテーションなどのツールと連携してゾーン内にワークロード レベルの制御を追加できます。
クラウド エンクレーブにより、次のことが可能になります。
- プロアクティブなセキュリティ:クラウド エンクレーブ内のポリシーは、ゼロトラスト制御でワークロードを保護することで、侵害を単一の資産に制限し、環境全体への拡大を防ぎます。多くのツールは自動化によって通信経路を特定し、ポリシーを推奨するため、保護の管理が容易になります。
- リスクの軽減:エンクレーブはIPベースの静的な制御に依存することなく、ワークロード レベルかつアイデンティティーベースの保護を使用し、動的な環境でもセキュリティの一貫性を維持します。そのため、どこに展開されているかを問わず、ワークロードの安全を確保できます。
- ポリシーの簡素化:クラウド エンクレーブは、ゾーンとワークロード レベルで適用されるアイデンティティーベースのスケーラブルなポリシーを適用します。IPアドレスやハードウェアに関連付けられた従来の手法とは異なり、ポリシーはインフラの変化に自動的に適応します。
エンクレーブによる分離とマイクロセグメンテーションを組み合わせることで、攻撃対象領域を削減し、ハイブリッド クラウド環境とマルチクラウド環境のワークロード セキュリティを強化することが可能です。
エンクレーブとは
エンクレーブとは、ネットワークの他の部分から切り離され、きめ細かなセキュリティ ポリシーによって管理されるネットワークの一部のことです。安全なエンクレーブは、多層防御のセキュリティ戦略の一環として、重要なリソースへの最小特権アクセスを徹底することを目的としています。
クラウド エンクレーブと従来のサイバーセキュリティの違い
従来の境界ベースのセキュリティは、データやアプリがオンプレミスのデータ センターに存在し、従業員がオンサイトで勤務していた時代には機能していたもののハイブリッド ワークやクラウド導入の増加により、時代遅れとなっています。現代の組織の多くは、複数のクラウド プロバイダー(AWSやMicrosoft Azureなど)を利用しており、データが環境間を移動するため、攻撃者に複数の侵入経路を与えてしまっています。
クラウド エンクレーブは、厳格な制御を備えた安全なゾーンにクラウド環境を分割し、ラテラル ムーブメントのリスクを抑制することで、この問題を解決します。カスタマイズされたゼロトラスト ポリシーは、マイクロセグメンテーションなどのツールを通じて施行されることが多く、トラフィックを明示的に許可されたもののみに制限します。このアプローチは、現代の分散したクラウド ネイティブ環境でワークロードとデータを保護するうえでより効果的な手法となります。
ネットワーク セグメンテーションとクラウド エンクレーブの比較
ネットワーク セグメンテーションは、VLAN、ファイアウォール、アクセス リストを使用し、ネットワーク レベルでサブネット内およびサブネット間のトラフィックを処理します。一方、クラウド エンクレーブは、多層的なきめ細かいアイデンティティーベースのコンテキスト制御を追加し、ワークロードやアプリケーション レベルでトラフィックを保護します。両者のアプローチについて詳しく見ていきましょう。
ネットワーク セグメンテーション
ネットワーク セグメンテーションは、ネットワークをサブネットに分割し、それぞれにセキュリティとコンプライアンスのルールを適用します。セグメント間のトラフィックは通常、VLANやファイアウォールによって分離されます。境界ベースのセキュリティよりも詳細ですが、セグメンテーションは静的なIPアドレス、ポート、プロトコルに依存しています。つまり、リクエストの送信元は特定できますが、リクエストの送信者や内容はわかりません。
これらの静的な制御は、たとえ悪意のあるアクターであってもセグメント内のエンティティーを信頼します。この「フラットな」ネットワーク設計では、ラテラル ムーブメントが可能となり、攻撃者がワークロード間を移動して環境を侵害する経路を与えることになります。さらに、ファイアウォールや仮想マシン(VM)などの従来のツールでセグメンテーションを管理する場合、大きなコストや複雑性を伴ううえ、時間を要し、これらがそのメリットを上回ることも少なくありません。
クラウド エンクレーブ
クラウド エンクレーブは、機密性の高いワークロード、アプリ、またはコンプライアンスのニーズに合わせて、クラウド環境に分離されたゾーンを作成します。ネットワーク セグメンテーションとは異なり、マイクロセグメンテーションなどのツールを用いてワークロード レベルで東西トラフィックを制御することで、攻撃対象領域を削減します。さらに、アイデンティティーとコンテキストに基づいてリクエストを認証し、静的なIP制御以上のより強力なセキュリティを提供します。
エンクレープは、最小特権アクセスとゾーン内でのラテラル ムーブメントを制限することで、内外の脅威によるリスクを軽減します。1つのワークロードが侵害されても、環境の残りの部分は安全に保たれます。
クラウド エンクレーブはベスト プラクティスと言えるのか
クラウド エンクレーブは、従来の手法では対応できない現代のセキュリティ上の課題に対する重要なソリューションです。重要なリソースのための安全なゾーンを作成し、マイクロセグメンテーションなどのツールにより、トラフィックを明示的に許可されたもののみに制限し、ワークロード レベルの保護を確保します。エンクレーブは、攻撃対象領域を削減し、ハイブリッド クラウド環境とマルチクラウド環境の防御を強化します。
- ハイブリッド クラウド環境とマルチクラウド環境の可視性:クラウド エンクレーブはアイデンティティーベースのコンテキスト認識型制御を提供し、アプリケーション、コンプライアンス、環境のニーズに基づいたセキュリティ ポリシーの定義を可能にします。これにより、可視性とセキュリティ態勢が強化され、脅威の検知と対応が容易になります。
- プロバイダー間での一貫したセキュリティ:マイクロセグメンテーションにより、複数のクラウド プロバイダーをまたぐ形でワークロードの保護を維持することが可能です。そのため、統一されたセキュリティ ポリシーを適用しながら、コンテナーやサーバーレス コンピューティング、ハイブリッド環境を柔軟に展開できます。
- 複雑さの軽減によるコスト削減:エンクレーブはアドレスベースの古いルールをよりシンプルでスケーラブルなポリシーに置き換えることで、管理にかかる時間とリソースを削減します。自動化機能により、労働集約的な作業を削減しながら、セキュリティ効率を向上させます。
Zscalerによるクラウド ワークロードの保護
Zscaler Zero Trust Cloudは、マルチクラウド環境における最新のワークロードに対し、簡素化された一貫したセキュリティを提供します。ゼロトラストの原則に基づいて構築されており、送信トラフィック、受信トラフィック、東西トラフィックのいずれかを問わず、すべてのワークロード トラフィックを一元的に保護するとともに、ラテラル ムーブメントを排除し、攻撃対象領域を削減します。
Zscalerは、きめ細かなマイクロセグメンテーションとAIを活用したポリシーの推奨により、ミッションクリティカルなアプリケーションを保護し、管理を簡素化し、展開を迅速化します。柔軟な導入オプションにより、インフラを自社で管理することも、ソリューションをゲートウェイ サービスとして使用することも可能です。
Zero Trust Cloudは、マルチクラウド セキュリティを1つのソリューションに統合し、次のことを可能にします。
- 包括的なトラフィック セキュリティ:一貫した制御により、東西トラフィック、送信トラフィック、受信トラフィック、マイクロフローを保護します。
- 優れたリスク削減:セグメンテーションによって脅威のラテラル ムーブメントを阻止し、高リスクのワークロードを分離します。
- 管理の複雑さの軽減:自動化されたポリシー作成とAIを活用した推奨により、管理を簡素化します。
Zero Trust Cloudでクラウド ワークロード セキュリティを再定義しましょう。
よくある質問
クラウド エンクレーブは、クラウド環境を安全なゾーンに分割することで、セキュリティを向上させます。アクセスを制限し、ラテラル ムーブメントを阻止し、侵害リスクを軽減します。また、環境の変化に適応する柔軟なアイデンティティーベースの保護により、セキュリティの管理も容易になります。これにより、すべてのクラウド環境で強力かつシンプルなセキュリティを確保します。
クラウド エンクレーブは、ワークロード間の通信を厳密に制御することで東西トラフィックを保護します。アイデンティティーベースのポリシーによって不正なトラフィックをブロックし、脅威による被害を制限するとともに、ゾーンをまたぐ攻撃の拡散を防止します。これにより、ハッカーがシステム内を水平移動できないようにしてリスクを軽減します。
ハイブリッド クラウド環境では、ワークロードが複数のクラウド プラットフォームで実行されることが多く、攻撃者の侵入経路が増えてしまいます。クラウド エンクレーブは、プロバイダー全体でワークロードに従うルールを備えた安全なゾーンを作成することで、この問題を解決します。リソースを安全に保ち、可視性を向上させ、最新の脅威から保護することを可能にします。
クラウド エンクレーブは、ワークロードを安全なゾーンに分離することで攻撃対象領域を削減します。承認されたトラフィックのみを許可し、不正なアクセスをブロックします。マイクロセグメンテーションなどのツールを使用することで、制御を強化し、攻撃者に不要な経路が開かれないようにすることが可能です。
内部脅威は、悪意のある人物が過剰なアクセスを悪用することで発生します。クラウド エンクレーブは、安全なゾーン内での移動を制限し、業務に必要なアクセスのみを提供することで、このリスクを軽減します。1つのゾーンが侵害されても、被害は封じ込められ、それ以上拡散することはありません。
クラウド エンクレーブは、ファイアウォールよりも高速かつ簡単に管理できる、柔軟なアイデンティティーベースのポリシーを適用します。時間と維持のコストがかかる静的なIPルールに依存せず、自動化ツールによってポリシーの設定を簡素化し、環境の拡大に合わせてセキュリティを拡張できます。
クラウド エンクレーブは、機密性の高いリソースを安全なゾーンに分離することで、コンプライアンスを支援します。アクセスを制限し、詳細なセキュリティ ポリシーを適用し、一貫したポリシーの施行を自動化します。これらの制御により、パブリック クラウド環境、プライベート クラウド環境、ハイブリッド クラウド環境全体で複雑な規制を順守しやすくなります。
クラウド エンクレーブは、アイデンティティーとニーズに基づいてアクセスを保護することで、ゼロトラストの原則に従います。承認されたトラフィックのみにアクセスを制限し、安全なゾーン内とゾーン間のすべての通信を検証します。これにより、不要なアクセスをブロックし、脅威がシステムの奥深くまで侵入することを防ぎます。