/ マルチクラウド環境におけるセキュリティ課題とは
マルチクラウド環境におけるセキュリティ課題とは
マルチクラウド環境は、組織により大きな柔軟性を提供し、成長とイノベーションに貢献する一方、ポリシーの施行、脅威検出、管理、コンプライアンスに関する重大な課題も生み出します。これらの課題を解決するには、クラウド特有の動的なニーズに合わせて構築された包括的なソリューションを導入する必要があります。
概要
• マルチクラウド環境は柔軟性と成長の余地を提供する一方、セキュリティ、ポリシーの施行、コンプライアンスの面で課題も生み出します。
• 一般的な問題としては、ポリシーの一貫性、アクティビティーに対する可視性、コンプライアンス リスク、アクセス制御の強度などが挙げられます。
• 従来のセキュリティ対策は機能しないことが多く、データ侵害、アプリの露出、ラテラル ムーブメントなどのリスクが高まります。
• ゼロトラスト アーキテクチャーは、マルチクラウド環境を保護するための最新の手法であり、厳格なアクセス ルールを施行し、トラフィックを保護しながら、脅威をブロックします。
• ゼロトラストは、ワークロードとインターネット間およびワークロード間両方の安全な接続をサポートします。主なツールには、TLS/SSLインスペクション、マルウェアのブロック、マイクロセグメンテーションなどがあります。
• Zero Trust Exchangeは、複雑さの軽減、コストの削減、脅威の阻止、ラテラル ムーブメントによる攻撃の防止により、クラウド セキュリティを簡素化します。
マルチクラウド セキュリティの概要
コスト削減や運用効率の向上などを実現するために、世界中の組織がアプリケーションやワークロードをパブリック クラウドに移行しています。最終的な目標は、俊敏性を高め、ユーザー、パートナー、顧客のニーズにいっそう応えられるようになることです。
こうしたクラウド戦略への移行が進むなかで、パブリック クラウドは事実上、組織の新たなデータ センターとなっています。同時に、ハイブリッド クラウド環境やマルチクラウド環境も一般的なものになりました。実際、IDC Researchの予測では、2025年末までに、生成AIプラットフォーム、開発者ツール、インフラにおけるパブリック クラウドの使用が、オンプレミス システムを上回る見込みです。
クラウドの魅力は明白です。クラウド プラットフォームでは、ボタンをクリックするだけで数百単位のサービスにアクセスでき、これまでにないスピードと拡張性が提供されます。開発者は新たな環境を瞬時に立ち上げることができ、セットアップやメンテナンスもオンプレミスのインフラに比べ圧倒的に簡単です。つまり、クラウドはこれまで不可能だったことを次々に可能にしています。
クラウドの拡大に伴う課題の増加
しかし、特に従来のセキュリティ アーキテクチャーを利用してクラウドを保護している組織においては、クラウドの導入が次のような新たなセキュリティ課題をもたらしています。
- 複数のプラットフォームにおける一貫したセキュリティ ポリシーの施行。ポリシー施行のギャップは、データ侵害や不正アクセスのリスクを高めます。
- ユーザー、トラフィック、シャドーITの可視性と制御の維持。分散したトラフィックやITの複雑さは、攻撃者に悪用される死角を生み出します。
- さまざまな地域やプロバイダーにおけるコンプライアンス基準の順守。データ セキュリティ上の脆弱性や設定ミスがある場合、機密データの漏洩につながるほか、監査で不合格となる可能性があります。
- アイデンティティーと機密データへの最小特権アクセスの管理。過剰な権限付与が行われている場合や監視が不十分な場合、機密データが侵害に対して脆弱になる可能性があります。
マルチクラウド環境における従来のセキュリティの課題
従来のオンプレミスのセキュリティ アーキテクチャーは、クラウドではなく、データ センター向けに設計されています。これらのソリューションのリフト&シフトを試みると、多くの場合、その保護には高いコストや複雑性が伴ううえ、十分な効果を得られず、クラウド ワークロードのニーズにも対応できません。
クラウド ワークロードは、ワークロードどうしやインターネットとの間で安全に通信できる必要があります。従来の方法では、これを実現するためにファイアウォールとVPNを使用してクラウド環境間にルーティング可能なネットワークを構築します。これは、本質的に、ワイド エリア ネットワーク(WAN)をクラウドに拡張する行為です。ワークロードが存在するすべての場所に仮想ファイアウォールを展開する必要があり、結果として、そのアーキテクチャーは非常に複雑で管理が難しいものになります。
情報漏洩防止(DLP)やTLS/SSLインスペクションなどの追加のセキュリティ機能には追加の仮想アプライアンスが必要となり、これがさらなる複雑化を招きます。単一のクラウド環境であっても、クラウド ワークロード間の南北と東西のトラフィックを保護するために、追加の仮想ファイアウォールをセットアップし、管理しなければなりません。マルチクラウド環境の場合、この問題は急激に増大します。
こうした課題があるにもかかわらずクラウド ワークロードの保護と接続に従来のアプローチを選択した場合、さらに次のような問題も発生します。
- 攻撃対象領域の拡大:各仮想ファイアウォールには、攻撃者が特定できるルーティング可能なIPアドレスが割り当てられているため、展開されるファイアウォールの数が多いほど、攻撃対象領域は拡大します。
- ワークロードの侵害:攻撃者は、環境への侵入口を発見してそこに足場を築くと、ワークロードを侵害できるようになります。
- ラテラル ムーブメント:すべてのワークロードはネットワーク化されているため、攻撃者は1つのワークロードを侵害すると、ネットワーク上でのラテラル ムーブメントを通じて、他のワークロードも侵害できます。
- 機密データの持ち出し:攻撃者はネットワーク上を移動して価値の高い機密データを発見し、持ち出すことができます。
ゼロトラストによるマルチクラウド環境の保護
クラウドへの依存度が高まる現代の組織環境を保護するには、従来とは異なるアプローチが必要です。ネットワーク中心に設計されたセキュリティではなく、セキュリティをネットワークの設計と運用の基盤として捉えるアーキテクチャーが求められます。つまり、ゼロトラスト アーキテクチャーが必要です。
ゼロトラストでは最小特権アクセスを施行して、ワークロード間およびワークロードとインターネット間の直接通信を可能にし、暗黙の信頼を排除します。クラウド型のゼロトラスト ソリューションの場合、その拡張性を活用することで大規模かつ完全なTLS/SSLインスペクションをサポートし、従来のアーキテクチャーにおける帯域幅やリソースの制約を克服することが可能です。
セキュリティと構成管理をクラウドで一元化することで、運用を簡素化しながら、マルチクラウド環境全体で一貫したポリシーを施行できます。
マルチクラウド環境におけるゼロトラスト導入の主なメリット
この最新のアプローチにより、次のことが可能になります。
- 攻撃対象領域の排除。ルーティング可能なネットワーク上に構築された従来のアプローチとは異なり、ワークロードは脅威アクターから効果的に不可視化されます。
- スケーラブルな脅威対策とデータ保護の提供。完全なインラインTLS/SSLコンテンツ検査とDLP機能により、大規模かつ堅牢なセキュリティが実現します。
- 脅威のラテラル ムーブメントの防止。ネットワークを介さず直接接続することで、ラテラル ムーブメントを不可能にします。
- コストと複雑さの軽減。クラウド構成とセキュリティの一元管理、直接接続により、時間と労力を節約できます。
マルチクラウド セキュリティにおけるゼロトラストの必須要件
ワークロードとインターネット間のトラフィックを保護
クラウド ワークロードは、インターネットを介した定期的な通信に依存しているため、アウトバウンド接続を保護できなくてはなりません。また、シンプルなクラウドへの直接接続アーキテクチャーによって、パブリック クラウドでホストされているか組織のデータ センターでホストされているかに関係なく、すべてのワークロードに安全なインターネット アクセスを提供できる必要があります。
ワークロードとインターネット間のトラフィックを保護するには、次の対策が必要です。
- プロキシベースの完全なTLS/SSLインスペクション:暗号化されたトラフィックに潜む脅威を特定し、ブロックします。
- 高度なマルウェア対策:ゼロデイ脅威がワークロードに到達する前に阻止します。
- サイト フィルタリング:ワークロードが承認された宛先にのみ接続できるようにします。
- 攻撃対象領域の排除:ワークロードを不正なトラフィックから不可視化します。
たとえば、AWS WestとAWS East両方のアプリを更新する必要がある場合を考えます。効果的なゼロトラスト プラットフォームであれば、セキュリティ ポリシーを施行しながら、ワークロードと更新ソース間のトラフィックを安全にルーティングし、シームレスで安全な通信を確保できます。
ワークロード間のトラフィックの保護
複数のクラウド間と個々のVPC内の両方で、ワークロード間の接続を保護することも重要です。そのためには、こうしたすべてのトラフィックを一元的なゼロトラスト プラットフォームを通じてルーティングして、アイデンティティーとコンテキストに基づいてポリシーを施行し、接続を認証できる必要があります。
DSPMの主な機能は以下のとおりです。
- マルチクラウドやマルチリージョンの安全な接続:異なるクラウドやリージョンのワークロードが安全にデータをやり取りできるようにします。
- VPC/VNET間接続:トラフィックを一元化されたセキュリティ プラットフォームにルーティングし、ゼロトラストの原則を適用します。
- 脅威のラテラル ムーブメントの防止:攻撃者が悪用できる経路を排除します。
- ゼロトラスト ネットワーク アクセス(ZTNA):攻撃対象領域を排除し、ワークロードがルーティング可能なネットワークに直接接続されないようにします。
たとえば、VPC間を移動するトラフィックはPrivate Service Edge経由でルーティングすることができ、これによって送信元アプリと宛先アプリ間で安全な接続が仲介されます。
きめ細かいマイクロセグメンテーションの施行
重要なセキュリティ レイヤーであるマイクロセグメンテーションは、個々のアプリの通信ニーズに基づいてワークロードを小さなセグメントに分割することで、ラテラル ムーブメントを防止します。ワークロードは指定されたセグメント内でのみ通信でき、クラウドであってもオンプレミスであっても、ゼロトラスト ポリシーをアプリケーション レベルで施行します。
マイクロセグメンテーションの主な機能は次のとおりです。
- AIを活用したリソース検出:ワークロードをリアル タイムで特定します。
- ホストベースと非ホストベースのセグメンテーション:動的なセキュリティ レイヤーを構築します。
- VPC/VNET全体のきめ細かいセグメンテーション:包括的な保護を実現します。
こうした機能により、境界だけでなくネットワーク全体にわたってきめ細かいゼロトラスト ポリシーを施行できるようになり、ギャップを排除するとともに、あらゆる場所のワークロードの安全性を確保できます。
Zscalerのソリューション
Zscalerは、クラウド ネイティブのZscaler Zero Trust Exchange™プラットフォームにより、マルチクラウド ワークロード向けの包括的なゼロトラスト セキュリティを提供します。
- 環境全体にわたって標準化された制御により、包括的な脅威対策とデータ セキュリティを施行
- クラウド、VPC、VM間およびその内部でのセグメンテーションにより、ラテラル ムーブメントを排除
- ファイアウォール、プロキシシ、高額なプライベート接続を排除することで、複雑さとコストを削減
- 仮想マシンやゲートウェイのマネージド サービスを活用することで、運用に適した形態で展開
マルチクラウド セキュリティの簡素化と強化
Zscaler Zero Trust Cloudでワークロード セキュリティを変革
よくある質問
マルチクラウド環境では、地域やプロバイダーごとに異なる規制を順守する必要があるため、コンプライアンスが複雑化します。セキュリティ違反を防止し、規制要件への対応を維持するには、強力なデータ ガバナンス プラクティスと、コンプライアンス指標を追跡してポリシーを施行するツールを組み合わせることが有効です。
アイデンティティー管理を導入することで、許可されたユーザーのみが機密性の高いクラウド リソースにアクセスできるようになります。最小特権の原則を適用し、多要素認証(MFA)などのツールを活用することで、ヒューマン エラー、内部脅威、資格情報ベースの攻撃によるリスクをマルチクラウド プラットフォーム全体にわたって軽減できます。
一般的な脅威には、設定ミス、パッチ未適用の脆弱性、シャドーIT、不正アクセスなどがあります。これらの問題は攻撃対象領域の拡大を招き、サイバー犯罪者が悪用できる隙を生み出します。プロアクティブな監視、定期的な監査、高度なセキュリティ対策により、これらのリスクを効果的に軽減できます。
