クラウド ワークロード保護プラットフォーム(CWPP)とは

クラウド ワークロード保護プラットフォームの定義

クラウド ワークロード保護プラットフォーム(CWPP)は、現代のハイブリッド、マルチクラウド、データ センター環境のワークロードが抱えるセキュリティ ニーズに対応すべく構築されたセキュリティ ソリューションです。効果の高いCWPPを活用することで、物理マシン、仮想マシン、コンテナー、サーバーレス ワークロードの場所を問わず、これらに関する一貫した制御と可視性を得られます。

CWPPは、ワークロードの展開時に既知の脆弱性をスキャンすると同時に、システム整合性保護、アイデンティティーベースのマイクロセグメンテーション、アプリケーション制御、メモリー保護、動作監視、ホストベースの侵入防止、およびオプションのマルウェア対策を組み合わせることで、ランタイムにおいて攻撃からワークロードを保護することが可能です。

 

CWPPが重要な理由

一般的に、従来型のネットワークベースのテクノロジーはクラウド環境にうまく適応できません。多く企業がクラウド サービス プロバイダー(CSP)とプライベート データ センターを組み合わせてアプリケーションを収容している現在、従来型のネットワークベースのテクノロジーでは、企業が求めるワークロードの一貫した完全な可視性を提供することは困難です。その一方、現代の企業はアプリケーション、ワークロード、サービスをセキュリティ計画の中核に据える必要があります。

ここで重要となるのが、エンドポイント保護プラットフォームは本来クラウド ワークロードではなく、主にノートパソコン、デスクトップ、モバイル デバイスを保護するために開発されたため、企業データが危険にさらされるリスクがある点です。真のCWPPは、別の用途のために構築された従来型のテクノロジーを単に転用したものではなく、クラウド内のワークロードを保護するために一から構築されたものです。

また、ワークロード セキュリティは問題発生後に対応する受動的なものではなく、事前に対策を講じるプロアクティブなものである必要があります。例えば、設定ミスはワークロード侵害よりも大きなリスクを組織にもたらすことが多いため、展開時点でクラウド ワークロードのスキャンを行い、脆弱性や設定ミスを検出するのが最善策です。

 

CWPPに求められるもの

企業が進化を遂げるにつれて、CWPPの必要性は高まり続けています。市場には数多くの選択肢が存在しますが、そのすべてが完全な機能を備えたプラットフォームであるとは限りません。CWPPソリューションを比較検討する際は、以下の点に注意しましょう。

  • 近い将来、エンタープライズ インフラストラクチャーの大半がハイブリッドかつマルチクラウドのアーキテクチャーになるとみられるため、効果的なCWPPで物理マシン、VM、コンテナー、サーバーレス ワークロードを保護する必要があります。
  • CWPPの管理は、単一のAPIセットを介して制御される、1つのコンソールから行えるようにする必要があります。
  • CWPPを通して、クラウド環境での自動化を促進するために、APIを介してすべての機能を公開する必要があります。
  • サーバーレス保護のロードマップに加え、アーキテクチャーのデザインを共有できるCWPPベンダーを選ぶ必要があります。

 

CWPPに関してセキュリティ担当者が考慮すべき点

製品機能のほかにも、将来に備えたクラウド ワークロード保護を実現するためには、CWPP機能をどのように組み込んでいくか考慮することが重要です。具体的な推奨事項は以下のとおりです。

  • 可視性と制御:CWPPのアーキテクチャーが、すべてのワークロードの場所、サイズ、アーキテクチャーを問わず、一貫した可視性とコントロールを提供できることを確認する。
  • コンテナー保護:コンテナー セキュリティ、または明確にロードマッピングされたサーバーレス保護へのサポート、およびリスクの高い構成を特定するための統合クラウド セキュリティ ポスチャー管理(CSPM)を提供できるCWPPベンダーを検討する。
  • スキャンとコンプライアンス:ワークロードのスキャンとコンプライアンスは、DevSecOpsのアプローチの一環として、DevOpsに拡張される必要がある(特にコンテナーベースおよびサーバーレス機能を持ったPaaSベースの開発、展開の場合)。
  • ゼロトラストの原則:ワークロード保護にはウイルス対策に基づく戦略ではなく、たとえ検出モードに限った場合でも、ランタイムで可能な限りデフォルト拒否のアプローチを適用する。
  • 柔軟性:ランタイム エージェントの使用が不可能、または意味をなさないCWPPシナリオのためのアーキテクチャーを設計する。

 

ZscalerとCWPP

Zscalerのプラットフォームの主要なコンポーネントであるZscaler Cloud Protectionは、ワークロード保護に不可欠となる以下のようなサービスを提供しています。

  • クラウド セキュリティ ポスチャー管理:クラウド アプリの設定ミスは、クラウドでの情報漏洩の最も一般的な原因の1つです。Zscaler CSPMでは、IaaS、PaaS、SaaS環境におけるアプリケーションの設定ミスを速やかに特定して修復します。
  • ゼロトラスト ネットワーク アクセス(ZTNA):ユーザーやアプリケーションをインターネット上に公開する選択肢(VPNなど)は、ネットワークが検出されて攻撃のリスクが高まる可能性があるほか、インターネットに露出しているすべてのファイアウォールやツールも攻撃対象領域を拡大させてしまいます。ZTNAサービスであるZscaler Private Access™は、従業員、パートナー、サード パーティーに対し、ネットワークに配置したり、アプリケーションをインターネットに露出させたりすることなく、クラウド アプリケーションへの安全なアクセスを提供します。
  • Any-to-any接続の保護:拠点間VPNを使用してネットワークをパブリック クラウドに拡張するのはコストがかかるだけでなく、危険を伴ううえに複雑です。対照的に、Zscaler Cloud Connectorは、ハイブリッドおよびマルチクラウド全体でゼロトラストによるアプリ間接続とアプリからインターネットへの接続を提供し、ハブ、仮想ファイアウォール、VPN、静的ネットワークベースのポリシーの複雑さとコストを排除します。
  • ワークロード セグメンテーション:IPベースのネットワーク セグメンテーションは、動的に変化するクラウド ワークロードを処理する機能が十分に整っていないため、露出や水平方向移動のリスクを高めます。Zscaler Workload Segmentationは、アプリ ワークロードの迅速なマイクロセグメンテーションを提供し、リスクの特定、セグメンテーションの適用、およびポリシーの自動更新を速やかに実行します。加えて、これらをネットワークを変更することなく、かつマイクロセグメンテーション ポリシーを90%削減しながら実現できるのが大きな特徴です。

Zscaler for Workloadsは、Zscaler Private Access、Zscaler Cloud Connector、Zscaler Workload Segmentationを含むZscaler Cloud Protectionサービスからなる一連のソリューションであり、将来を見据えた総合的なクラウド ワークロード保護を実現します。

 

参考資料