クラウドエンクレーブの定義
クラウドエンクレーブはクラウド環境でワークロードをセグメント化することで、組織の内部リソースをはじめ、保護されたクラウドインフラストラクチャ、アプリ、機密データへの過剰な権限付きのアクセスを防止し、自己増殖するマルウェア、データ侵害、その他のサイバー攻撃から保護できます。
クラウドエンクレーブを通じ、ソフトウェア定義境界(SDP)を使用して、組織がロールベースのアクセス制御、信頼評価、証明書管理、その他の重要なクラウドセキュリティ機能を導入できる、保護されたサービスとしてのインフラストラクチャ(IaaS)を作成することが可能です。
クラウドエンクレーブは、クラウドワークロードセグメンテーションまたはクラウドマイクロセグメンテーションとも呼ばれます。
エンクレーブとは
エンクレーブとは、ネットワークの他の部分から分離され、きめ細かなセキュリティポリシーによって管理される、ネットワークの一部です。安全なエンクレーブの目的は、多層防御のセキュリティ戦略の一環として、重要なリソースへの最小特権付きアクセスを徹底することにあります。
クラウドエンクレーブと従来型のサイバーセキュリティとの違い
クラウドエンクレーブは、従来型のセキュリティソリューションでは対応できない、現代のデジタルビジネスのニーズを満たすことを目的としています。ここで、過去を振り返ることでこのようなクラウドエンクレーブが発達した背景を見ていきましょう。
アプリケーションとデータが組織のオンプレミスデータセンタに存在し、従業員が主に同じ場で働いていた時代には、従来型の境界ベースのネットワークセキュリティからは十分なレベルのセキュリティを得られました。しかし現在では、グローバリゼーションとハイブリッドな働き方により、クラウドコンピューティングが前面に押し出されたことで、古いモデルは効力を発揮しなくなりました。
クラウドにおいては、1つの組織が有するさまざまな重要なワークロードは複数のクラウドサービスプロバイダ(例:Amazon Web Service(AWS)、Microsoft Azureなど)の下に存在し、ユーザはインターネット経由でそれらにアクセスします。これは、「ネットワーク境界」が事実上存在しなくなったことを意味し、潜在的な攻撃を可能にする経路がより多く開かれることとなります。クラウドエンクレーブは、特定のワークロードとの間のトラフィックを明示的に許可されたものだけに制限する、カスタマイズされたセキュリティポリシーのための余地を設けることでこのような状況に対処します。
ネットワークセグメンテーションとクラウドエンクレーブの比較
ネットワークセグメンテーションは南北(利用環境とその外部との間)のトラフィックに最も効果を発揮するものです。その一方、クラウドエンクレーブは東西(利用環境内におけるサーバー間、アプリからサーバー、Webからサーバーなど)のトラフィックにさらなる保護を追加するためのものです。この両方について、より詳しく見ていきましょう。
ネットワークセグメンテーション
外部からネットワークを保護する境界ベースのモデルと比較すると、ネットワークセグメンテーションはより繊細なアプローチです。このアプローチでは、ネットワークをサブネットに分割し、それぞれにセキュリティとコンプライアンスのプロトコルを適用します。セグメント間のトラフィックは通常、ファイアウォールを通過する前にVLANを用いて分離されます。
残念ながら、このアプローチはIPアドレスに基づいているため、リクエストがどのように到達したか(つまり、発信元のIPアドレス、ポート、プロトコル)のみを識別でき、リクエストを行ったエンティティのコンテキストやアイデンティティは特定できません。そのため、安全だと見なされた通信は、それがどのような通信であるのかIT部門が正確に把握していない場合であっても許可されてしまいます。そして、一旦セグメント内に入ったエンティティは、たとえそれが環境内で水平移動を行おうとしている悪意のあるアクターであっても信頼されてしまいます。
ネットワークセグメンテーションはいわゆる「フラットなネットワーク」を作成し、保護されていない経路を残してしまいます。これにより、攻撃者が水平移動を行い、クラウドおよびデータセンタ環境でワークロードを侵害できるようになります。さらに、従来型のファイアウォールまたは仮想マシン(VM)を用いてネットワークセグメンテーションを管理するのには、セキュリティ上の利点に見合わないほどのコストや複雑さ、時間がかかる傾向にあります。
クラウドエンクレーブ
クラウドエンクレーブ(つまり、クラウドベースのマイクロセグメンテーション)では、組織の攻撃対象領域を最小限に抑えながら、よりきめ細かなトラフィックの制御が可能になり、ネットワークセグメンテーションよりも運用上簡単かつ安全な方法でセグメンテーションを行えます。これは、IPアドレス、ポート、およびプロトコルの枠を超えて、アイデンティティとコンテキストによってリクエストを認証することによって実行されます。さらに、個々のワークロードのレベルできめ細かな保護を提供し、ワークロード間の通信をより効果的に制御します。
クラウドエンクレーブは、ワークロード自体により一層近いところで保護を提供することにより、インサイダー脅威を最小限に抑えるだけでなく、境界が侵害された後の外部脅威の拡散も防止します。
クラウドエンクレーブのメリット
ネットワークセグメンテーションと同様、クラウドエンクレーブはサイバー脅威が増加と進化を続けている状況を踏まえて、ネットワークとデータのセキュリティを強化するために存在します。サイバー犯罪者がセキュリティ対策を回避するため、これまで以上に高度な技術を開発するのにつれて、地域や業界を問わず多くの組織が脅威にさらされています。遅れを取らないようにするためにも、組織はセキュリティの適応に努める必要があります。
効果的なクラウドベースのマイクロセグメンテーションアプローチを活用することで、以下のことを実現できます。
- 積極的なネットワークセキュリティとITセキュリティ:クラウドエンクレーブは、すべてのアプリとサービスと共に移動するアプリケーション認識型のポリシーを作成し、潜在的なデータ侵害が環境全体に広がらないよう、影響を受ける資産に封じ込めます。一部のエンクレーブサービスでは、自動化を利用してすべての通信を識別し、ゼロトラストポリシーを推奨してワンクリックでそれらのポリシーを適用できるようにします。
- 脆弱性の軽減:IPアドレス、ポート、およびプロトコルに依存する静的な制御の代わりに、セキュリティ部門は各ワークロードにフィンガープリンティングを行うことで、内部データセンタまたはクラウドで運用する際に一貫した保護を提供できます。フィンガープリンティングにより、ワークロードセキュリティをIPアドレスのコンストラクトから切り離すため、IPベースの制御に関する問題を回避することができます。
- 継続的なリスク評価:クラウドエンクレーブを使用することで、目に見える攻撃対象領域を自動的に測定してリスクを定量化できます。特に効果が高いエンクレーブサービスでは、エンティティがリクエストを行うたびにそのアイデンティティを検証することで、リスクをさらに軽減します。また、規制コンプライアンスに関する義務の履行をサポートし、視覚化されたリスクレポートのための情報も提供します。
- ポリシー管理を簡素化:クラウドエンクレーブポリシーは、IPアドレスやポート、プロトコル、ハードウェアなどではなくワークロードに適用されるため、インフラストラクチャが変更されてもポリシーはそのまま保たれます。つまり、セキュリティ部門は一連の制御をどこにでも拡張できるほか、数多くのアドレスベースのルールを用いずとも、少数のアイデンティティベースのポリシーによってセグメントを保護できます。
クラウドエンクレーブはベストプラクティスと言えるか
クラウドエンクレーブは、従来型のアプローチでは構造上対応が難しかったクラウドセキュリティに関する多くのユースケースに対処できます。ネットワークセグメンテーションが精度の低い管理集約型の制御に依存している場合、マイクロセグメンテーションは個々のワークロードに制御を適用し、そのワークロードをクラウド環境全体にわたって追跡します。世界規模のハイブリッドな働き方や分散されたデータ、そして巧妙さを増す一方の攻撃が混在する現代の社会において、クラウドエンクレーブは不可欠な対策手段であり、以下のような効果を発揮します。
環境全体の可視性
クラウドエンクレーブは、セキュリティ担当部門が起源だけではなくアイデンティティに重点を置くことで、アプリケーションや環境、コンプライアンスなどに基づいてポリシーを構築できる、より優れたコンテキストを提供します。これにより、よりきめ細かなポリシーを作成し、セキュリティポスチャを強化できるようになります。
プロバイダと導入を網羅する保護
効果的なマイクロセグメンテーションアプローチにより、クラウドプロバイダのワークロードに一貫した保護を提供し、予算および導入のニーズに最も適したハイブリッドおよびマルチクラウド環境を構築できるようになります。また、柔軟性が向上することで、コンテナ、サーバーレスコンピューティングなどをより容易に採用できます。
設備などへの投資コストと運用コストの削減
クラウドエンクレーブにより、長期的な視点で労働力とリソースの両方を節約できます。クラウドベースのマイクロセグメンテーションの実装、管理、および維持は、ファイアウォールやその他のハードウェアの場合よりも必要なコストや作業負荷、時間が大幅に少ないという特徴があります。
Zscalerとクラウドエンクレーブ
Zscaler Workload Segmentation™(ZWS™)は、クラウドに安全なエンクレーブを作成できる新たな方法です。ZWSは、ネットワークを変更することなくリスクを明らかにし、アイデンティティベースの保護をワークロードに適用できるソリューションであり、セキュリティをワンクリックで強化できます。
ZWSは環境の変化に自動的に適応するポリシーを使って隙のない保護を提供し、ネットワークの攻撃対象領域を排除します。さらに、Zscaler Workload SegmentationはAPI活用型であるため、既存のセキュリティツールやDevOpsプロセスと統合することが可能となり、ワンクリックでの自動セグメンテーションが可能です。
Zscalerはゼロトラストに基づいて構築されているため、パブリック、プライベート、ハイブリッドのクラウド環境で通信が許可されるのは検証済みのワークロードのみとなり、リスクが軽減され、最高レベルのデータ侵害の保護が実現します。
Zscaler Workload Segmentationには以下が含まれます。
アイデンティティベースによるソフトウェアの保護
ZWSはネットワークアドレスの枠を超えて、パブリッククラウド、プライベートクラウド、ハイブリッドクラウド、オンプレミスデータセンタ、コンテナ環境で通信するアプリケーションソフトウェアとワークロードのアイデンティティに関する安全性を検証します。
ポリシー自動化エンジン
ZWSは機械学習を使用し、マイクロセグメンテーションとワークロード保護を目的としてポリシーライフサイクル全体を自動化します。導入中または現在の運用においてポリシーを手動で構築する必要はなく、アプリが追加または変更された段階でZWSは新しいまたは更新されたポリシーを推奨します。
攻撃対象領域の可視性と測定
ZWSは、リアルタイムのアプリケーショントポロジと依存関係のマップをプロセスレベルまで自動的に構築します。その後、必要なアプリケーションパスを強調し、利用可能なネットワークパスの合計と比較したうえで、攻撃対象領域を縮小させ、必要なものを保護するためのポリシーを推奨します。
体感してみませんか?
デモをリクエストし、Zscaler Workload Segmentationによってどのようにクラウドエンクレーブを作成してセキュリティを強化できるか体験してみましょう。