ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。
詳細はこちら

Zscalerのブログ

Zscalerの最新ブログ情報を受信

購読する
製品およびソリューション

クラウドワークロード保護の簡素化と自動化

image
RICH CAMPAGNA
12月 08, 2020 - 4 分で読了
ゼロトラスト アーキテクチャー

コンテンツ

  1. 記事
  2. おすすめのブログ

企業が従来型のデータセンターからクラウドに移行する際、アジリティとスピードを重視するあまり、セキュリティがおろそかになることがあります。しかし、これはクラウドが本質的に信頼できないということを意味するものではありません。事実、Gartnerは、2023年までに、クラウドセキュリティインシデントの99%が企業自らの過失によって発生するものになると予測しています。問題は何でしょうか?意欲的な従業員であっても安全なクラウドの構成についてはほとんど知識がないことや、従来の静的なセキュリティアーキテクチャを動的なクラウド環境に移行する際の複雑さといったことが挙げられます。

過去数十年の情報セキュリティの経験から、複雑さはセキュリティの敵であり、アプライアンスや複雑なポリシーを階層化すると、見落としや人為的なエラーにつながることが分かっています。さらに悪いことには、その複雑さを避けるためにセキュリティ違反が行われることがあることです。今日のDevOps主導のクラウド展開の非常に動的な性質により、これらの課題はより深刻化し、セキュリティチームと開発チームの対立のきっかけにもなってしまいます。

しかしそのような苦労は無用です。

クラウドの保護は、クラウドデプロイメントを安全に構成し、攻撃対象領域の露出を最小限に抑え、悪意のあるソフトウェアや攻撃者の水平方向への移動を排除するという、比較的シンプルな戦略によって実現することができます。自動化と分かりやすいビジネスレベルのポリシーにより、クラウドのセキュリティ戦略は、人為的なエラーのリスクを最小限に抑えながら、クラウド展開の変化しやすい性質に自動的かつ即座に適応することができます。
 

クラウドセキュリティポスチャの監視と修正

クラウドデプロイメントを保護するための最初のステップは、すべてのインフラとサービスを安全に構成することです。通常、セキュリティの専門家ではない開発者やDevOpsチームは、厳しい納期に間に合わせるために進行が速く、新しいサービスを立ち上げる際の重要な設定手順を見落としがちです。これらのサービスは、デプロイ後およびその後も継続して、内部統制と規制の両方の要件を満たす必要があります。
 

攻撃対象領域のない安全なアプリアクセス

インフラとサービスが安全に構成されたら、次の課題は、従業員とB2Bがクラウドアプリに安全にアクセスできるようにすることです。ゼロトラストのアプローチでは、プライベートアプリケーションをインターネットから不可視化しながら、承認されたユーザにそれらのアプリへのアクセスを許可します。VPNを使用しないため、複雑な操作やユーザエクスペリエンスの低下はすべて回避できます。
 

クラウド環境でのアプリ間通信の保護

クラウドインフラ全体で水平方向の脅威の動きを排除したら、次のステップは、インターネット、他のクラウド、データセンター(DC)へのワークロード通信を保護することです。

見落とされがちですが、今日のワークロードでは、API接続やサードパーティサービス、ソフトウェアアップデートなどといった正当な理由で、インターネットへアクセスする必要があります。これらのワークロードは、従業員のインターネットアクセスに提供されるのと同じレベルのセキュリティと制御で保護する必要があります。このステップを適切に実装することで、攻撃対象領域が外部に公開されたり、不要な接続が発生したりすることなく、ワークロードが必要なインターネットベースのサービスに安全に制御されてアクセスできるようになります。

クラウドからクラウドおよびクラウドからDCへの通信は、クラウドフットプリントのセキュリティのもう1つの重要なコンポーネントです。クラウドまたはDC全体に迅速に展開および更新できる安全な接続により、クラウドセキュリティインフラはビジネスの変化するニーズに適応できます。
 

脅威の水平移動の排除

セキュリティのベストプラクティスのために環境が構成された後でも、悪意のあるインサイダーやハッカーなどの認証情報の漏洩を利用する悪意のある攻撃者、さらにマルウェアやランサムウェアが、チェックされないラテラル ムーブメントを許すフラットネットワークに大損害を与えることがあります。ネットワークベースのファイアウォールポリシーは静的で管理不能なほど複雑です。そのため、人的エラーや古いポリシーによってワーククロードが外部に公開されたり、ポリシーの意図的な回避が起こったりすることがあります。パススルーとストリームベースのファイアウォールアーキテクチャによって、問題はさらに深刻化します。

アイデンティベースのセグメンテーションは、ネットワークのセグメンテーションのような複雑な作業を必要とせずに、クラウド内やクラウド間の攻撃対象領域を排除し、水平方向への移動を阻止する手段となります。VPN を使用せずにクラウド全体にネットワークを拡張するということは、トランジットゲートウェイ、トランジットハブ、仮想ファイアウォール、VPN、ルーター、ネットワークポリシー、ピアリングの管理に伴う複雑さ、オーバーヘッド、コスト、スピード低下を排除することを意味します。
 

詳しくは動画をご覧ください。

Zscaler Cloud Protectionを、  Cloud Security Posture Management、 Workload Segmentation、 Cloud Connector、 Zscaler Internet Access 、 Zscaler Private Accessと組み合わせることが、「ニュー リアリティ」への道筋となります。

詳細または カスタムデモについてはこちらからお問い合わせください。

form submtited
お読みいただきありがとうございました

このブログは役に立ちましたか?

vote yes
はい
vote no
いいえ

おすすめのブログ

Exceptional Customer Experiences Begin at Home
Exceptional Customer Experiences Begin at Home
投稿を読む
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
投稿を読む
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
投稿を読む
Cloud Compliance
The Impact of Public Cloud Across Your Organization
投稿を読む
01 / 02
dots pattern

Zscalerの最新ブログ情報を受信

このフォームを送信することで、Zscalerのプライバシー ポリシーに同意したものとみなされます。