リソース > セキュリティ用語集 > クラウド エンクレーブとは

クラウド エンクレーブとは

クラウド エンクレーブの定義

クラウド エンクレーブとは、クラウド環境のワークロードをセグメント化し、社内リソースへの過剰なアクセスを制限するとともに、自己増殖型のマルウェアやデータ漏洩などのサイバー攻撃からクラウドインフラ、アプリケーション、機密データを保護する手法のことです。

クラウド エンクレーブはソフトウェア定義の境界(SDP)を使用して、保護されたサービスとしてのインフラストラクチャー(IaaS)を構築します。これにより、役割ごとのアクセス制御、信頼性の評価、証明書の管理、その他の重要なクラウド セキュリティ機能の導入が可能になります。

クラウド エンクレーブは、クラウド ワークロード セグメンテーションまたはクラウド マイクロセグメンテーションとも呼ばれます。

 

エンクレーブとは

エンクレーブとは、ネットワークの他の部分から切り離され、きめ細かなセキュリティ ポリシーによって管理されるネットワークの一部のことです。安全なエンクレーブは、多層防御のセキュリティ戦略の一環として、重要なリソースへの最小特権アクセスを徹底することを目的としています。

クラウド エンクレーブと従来のサイバーセキュリティとの違い

クラウド エンクレーブは、従来のセキュリティ ソリューションでは対応できない現代のデジタル ビジネスのニーズを満たすように構築されています。その理由を歴史的な背景から考察してみましょう。

アプリケーションやデータがオンプレミスのデータ センターに存在し、従業員のほとんどが同じ場所で働いていた時代には、従来の境界ベースのネットワーク セキュリティは十分に機能していました。しかし、グローバル化やハイブリッドワークによってクラウド コンピューティングが主流になった今、これまでのモデルでは対応しきれなくなってきています。

クラウドでは、1つの組織の重要なワークロードが複数のクラウド サービス プロバイダー(例:Amazon Web Services、Microsoft Azureなど)に存在し、ユーザーはインターネット経由でそれらにアクセスします。これは、「ネットワーク境界」が事実上存在しなくなったことを意味し、潜在的な攻撃を可能にする経路がより多く開かれることとなります。クラウド エンクレーブは、特定のワークロード間のトラフィックを明示的に許可されたものだけに制限するセキュリティ ポリシーでこうした状況に対抗します。

ネットワーク セグメンテーションとクラウド エンクレーブの比較

ネットワーク セグメンテーションは南北のトラフィック(利用環境とその外部との間)に最も効果を発揮し、一方、クラウド エンクレーブは東西のトラフィック(利用環境内でのサーバー間、アプリからサーバー、Webからサーバーなど)にさらなる保護を追加します。より詳しく見ていきましょう。

ネットワーク セグメンテーション
外部からネットワークを保護する境界ベースのモデルと比較すると、ネットワーク セグメンテーションはより繊細なアプローチです。このアプローチでは、ネットワークを「サブネット」に分割し、それぞれにセキュリティやコンプライアンスのプロトコルを適用します。セグメント間のトラフィックは通常、ファイアウォールを通過する前にVLANを用いて分離されます。

残念ながら、このアプローチはIPアドレスに基づいているため、リクエストがどのように到達したか(つまり、発信元のIPアドレス、ポート、プロトコル)は識別できるものの、リクエストを行ったエンティティーのコンテキストやアイデンティティーは特定できません。そのため、安全だと見なされた通信は、それがどのような通信であるのかIT部門が正確に把握していない場合であっても許可されます。そして、一旦セグメント内に入ったエンティティーは、たとえそれが環境内で水平移動を行おうとしている悪意のあるアクターだとしても信頼されます。

ネットワーク セグメンテーションはいわゆる「フラットなネットワーク」を作成し、保護されていない経路を残すため、攻撃者は水平に移動してクラウドおよびデータ センターの環境でワークロードを侵害できるようになります。さらに、従来のファイアウォールや仮想マシン(VM)を用いてネットワーク セグメンテーションを管理する場合、セキュリティ上の利点に見合わないほどのコストや複雑さ、時間がかかる傾向にあります。

クラウド エンクレーブ
クラウド エンクレーブ(クラウドベースのマイクロセグメンテーション)では、組織の攻撃対象領域を最小限に抑えながら、よりきめ細かなトラフィックの制御が可能になり、ネットワーク セグメンテーションよりも運用上簡単かつ安全な方法でセグメント化できます。これは、IPアドレス、ポート、プロトコルの枠を超えて、アイデンティティーとコンテキストによってリクエストを認証することによって実行されます。さらに、ワークロードごとのレベルできめ細かな保護を提供し、ワークロード間の通信をより効果的に制御します。

クラウド エンクレーブは、ワークロード自体により近いところで保護を提供するため、内部の脅威を最小限に抑えるだけでなく、境界が侵害された後の外部からの脅威の拡散も防止します。

マイクロセグメンテーションとネットワーク セグメンテーションとの違い

ブログを読む(英語)
マイクロセグメンテーションとネットワーク セグメンテーションとの違い

ワンクリックのゼロトラスト

データ シートを読む(英語)
ワンクリックのゼロトラスト

Gartnerゼロトラスト ネットワーク アクセスのマーケット ガイド2020

ガイドを読む
Gartnerゼロトラスト ネットワーク アクセスのマーケットガイド2020

ゼロトラスト ネットワーク アクセスのネットワーク アーキテクト ガイド

資料を読む
ゼロトラスト ネットワーク アクセスのネットワーク アーキテクト ガイド

段階ごとのセグメンテーションの実装

資料を読む(英語)
ZTNAテクノロジーの解説と選び方

クラウド エンクレーブのメリット

ネットワーク セグメンテーションと同様、クラウド エンクレーブは進化し続けるサイバー脅威に対抗するためにネットワークとデータのセキュリティを強化します。サイバー犯罪者がセキュリティ対策を回避するためにこれまで以上に高度な技術を開発しているため、さまざまな地域や業界の組織が脅威にさらされています。こうした現状を踏まえ、組織のセキュリティ対策は常に適応していく必要があります。

効果的なクラウドベースのマイクロセグメンテーション アプローチを活用することで、以下を実現できます。

  • 積極的なネットワーク セキュリティとITセキュリティ:クラウド エンクレーブは、すべてのアプリとサービスに対応するアプリケーション認識型のポリシーを作成します。そして、潜在的なデータ漏洩を、環境全体ではなく、影響を受ける資産に限定します。一部のエンクレーブ サービスでは、自動化を利用してすべての通信を識別し、ゼロトラストポリシーを推奨してワンクリックでそれらのポリシーを適用できるようにします。
  • 脆弱性の軽減:IPアドレス、ポート、およびプロトコルに依存する静的な制御の代わりに、セキュリティ部門は各ワークロードにフィンガープリンティングを行うことで、内部のデータ センターまたはクラウドで運用する際に一貫した保護を提供できます。フィンガープリンティングにより、ワークロード セキュリティをIPアドレスの構成から切り離すため、IPベースの制御に関する問題を回避できます。
  • 継続的なリスク評価:クラウド エンクレーブを使用することで、公開された攻撃対象領域を自動的に測定してリスクを定量化できます。効果的なエンクレーブ サービスでは、エンティティーがリクエストを行うたびにそのアイデンティティーを検証してリスクをさらに軽減します。また、規制コンプライアンスに関する義務の履行をサポートし、視覚化されたリスク レポートのための情報も提供します。
  • ポリシー管理の簡素化:クラウド エンクレーブ ポリシーは、IPアドレスやポート、プロトコル、ハードウェアなどではなくワークロードに適用されるため、インフラストラクチャーが変更されてもポリシーは維持されます。つまり、セキュリティ部門は一連の制御をどこにでも拡張でき、わずか数個のアイデンティティベースのポリシーでセグメントを保護できます。アドレスベースのルールを無数に用意する必要はありません。

クラウド エンクレーブはベスト プラクティスと言えるのか

クラウド エンクレーブは、従来のアプローチでは構造上難しかったクラウド セキュリティに関する多くのユース ケースに対処できます。ネットワーク セグメンテーションが精度の低い管理集約型の制御に依存している場合、マイクロセグメンテーションは個々のワークロードに制御を適用し、そのワークロードをクラウド環境全体にわたって追跡します。グローバルなハイブリッド ワークや分散されたデータ、そして巧妙化する攻撃が混在する現代の社会において、クラウド エンクレーブは不可欠な対策手段であり、以下のような効果を発揮します。

環境全体の可視性の向上
クラウド エンクレーブは、セキュリティ部門がアプリケーション、環境、コンプライアンスなどに基づいてポリシーを構築する際に、発信元だけではなく、アイデンティティーに重点を置くことでより優れたコンテキストを提供します。これにより、よりきめ細かなポリシーを作成し、セキュリティ態勢を強化できるようになります。

プロバイダーと導入に対する保護
効果的なマイクロセグメンテーション アプローチにより、クラウド プロバイダーのワークロードに一貫した保護を提供し、予算や導入のニーズに合わせたハイブリッドおよびマルチクラウド環境を構築できるようになります。また、柔軟性が向上することで、コンテナーやサーバーレス コンピューティングなどをより簡単に採用できます。

設備などへの投資コストと運用コストの削減
クラウド エンクレーブにより、長期的な視点で労働力とリソースの両方を節約できます。クラウドベースのマイクロセグメンテーションの実装、管理、維持は、ファイアウォールやその他のハードウェアで行うよりもはるかに安価で、時間もかかりません。

Zscalerとクラウド エンクレーブ

Zscaler Workload Segmentation™ (ZWS™)は、クラウドに安全なエンクレーブを作成できる新たな方法です。ZWSは、ネットワークを変更することなくリスクを特定し、アイデンティティーベースの保護をワークロードに適用できるソリューションであり、セキュリティをワンクリックで強化できます。

ZWSは環境の変化に自動的に適応するポリシーを使って隙のない保護を提供し、ネットワークの攻撃対象領域を排除します。さらに、Zscaler Workload SegmentationはAPIで既存のセキュリティ ツールやDevOpsプロセスと統合でき、ワンクリックでセグメント化を自動化できます。

ゼロトラストに基づいて構築されたZscalerは、検証済みのワークロードのみに対してパブリック、プライベート、ハイブリッドのクラウド環境での通信を許可するため、リスクを軽減し、最高レベルのデータ侵害対策を提供します。

Zscaler Workload Segmentationには以下が含まれます。

アイデンティティーベースによるソフトウェアの保護
ZWSはネットワーク アドレスの枠を超えて、パブリック クラウド、プライベート クラウド、ハイブリッド クラウド、オンプレミスのデータ センター、コンテナー環境で通信するアプリケーション ソフトウェアとワークロードのアイデンティティーに関する安全性を検証します。 

ポリシー自動化エンジン
ZWSは機械学習を使用し、マイクロセグメンテーションとワークロード保護を目的としてポリシーのライフサイクル全体を自動化します。導入時または運用中にポリシーを手動で作成する必要はなく、アプリが追加または変更された段階でZWSは新規のポリシーや更新されたポリシーを提案します。

攻撃対象領域の可視性と測定
ZWSは、リアルタイムのアプリケーション トポロジーと依存関係のマップをプロセス レベルまで自動的に構築します。その後、必要なアプリケーションの経路を特定し、利用可能なネットワーク経路の合計と比較したうえで、攻撃対象領域を最小化し、必要なものを保護するためのポリシーを提案します。

 

デモのリクエスト

クラウド エンクレーブを作成してセキュリティを強化するZscaler Workload Segmentationの詳細については、こちらからデモをリクエストしてください。