GartnerによるCWPPの定義
Gartnerは、クラウドワークロード保護プラットフォーム(CWPP)を、今日のハイブリッド、マルチクラウド、データセンタ環境におけるワークロード独自の保護要件を満たす「ワークロードを中心としたセキュリティ製品」と定義しています。そして、CWPPはさまざまな場所の物理マシン、仮想マシン、コンテナ、サーバレスワークロードに対して一貫した管理と可視性を提供するものと説明しています。
また、真のクラウドワークロード保護プラットフォームは、導入時に既知の脆弱性をスキャンするだけでなく、システム整合性保護、 IDベースのマイクロセグメンテーション、アプリケーション制御、メモリ保護、動作監視、ホストベースの侵入防止などの機能とマルウェア対策のオプションを組み合わせて、ランタイム攻撃からワークロードを保護する必要があると強調しています。
GartnerがCWPPを推奨する理由
一般的に、ネットワークベースのレガシー技術は、クラウド環境ではうまく機能しません。また、多くの企業では、複数のクラウドサービスプロバイダとデータセンタを組み合わせてアプリケーションを格納しているため、ワークロードを一貫して可視化することが難しくなっています。そこで、アプリケーションとサービスそのものをセキュリティ計画の中心に据える必要があるのです。
エンドポイント保護プラットフォーム(ノートパソコン、デスクトップ、モバイルデバイスを保護するために開発されたツール)は、サーバーワークロード保護には適していないため、企業のデータを危険にさらしてしまいます。次に、ほとんどの組織が複数のパブリッククラウドIaaSを利用しており、数多くのコンテナベースのアプリケーションを試験的に導入し、サーバーレスPaaSの実験を行っています。
したがって多くの場合、ワークロードの侵害よりも設定ミスが組織に大きなリスクをもたらすため、コンテナやサーバーレスワークロードの脆弱性や設定ミスをスキャンするために、ワークロードセキュリティは導入時からプロアクティブに開始する必要があります。
エンドユーザーのデバイス(デスクトップやラップトップなど)の保護だけを目的としたエンドポイント保護プラットフォーム(EPP)をサーバーワークロード保護に使用している企業は、企業のデータとアプリケーションを危険にさらしていることになります。
Gartnerが考えるCWPPに求めるもの
企業の進化に伴い、クラウドワークロード保護プラットフォームへのニーズは高まり続けています。GartnerはCWPPソリューションを比較検討する際に、以下を推奨しています:
- 今後は、企業のデータセンタのほとんどがハイブリッドでマルチクラウドなアーキテクチャになっていくため、CWPPは、物理マシン、VM、コンテナ、サーバーレスワークロードを保護しなければなりません。そして、場所に左右されることなく、これらを単一のコンソールから実行したり、単一のAPIセットから管理したりできる必要があります。
- CWPPを通して、クラウド環境での自動化を促進するために、APIを介してすべての機能を公開する必要があります。
- CWPPプラットフォームを評価する際、コンテナ保護は必ず必要な機能となります。
- CWPPベンダーは、12か月以内の義務化が予想されている、サーバーレス保護に関するロードマップとアーキテクチャ設計を共有する必要があります。
Gartnerが推奨するCWPPの全リストは、2020 Market Guide for Cloud Workload Protection Platforms(要登録)からご覧ください。
Gartnerが考えるCWPP検討時にセキュリティのリーダーが注意すべきこと
製品の特徴はさておき、セキュリティの専門家らは、CWPPの機能や将来的なクラウドワークロード保護プラットフォームの開発にこれらの機能をどのように取り込むかを検討する必要があります。Gartnerでは、以下を推奨しています:
- 場所、規模、アーキテクチャに関係なく、すべてのワークロードを一貫して可視化し、管理するためのアーキテクト。
- クラウドワークロード保護プラットフォーム(CWPP)ベンダーに対して、サーバーレス化用に計画されたソリューションでコンテナをサポートするように要求する。
- ワークロードのスキャンとコンプライアンスに対する取り組みを、特にコンテナベースやサーバーレス機能付きPaaSベースの開発、導入(DevSecOps)にまで拡大する。
- CWPPに対して、全機能をAPI経由で公開することを要求する。
- 実行時に、検出モードでのみ使用する場合でもワークロードを保護できるよう、ウイルス対策中心の戦略を、可能な限り「ゼロトラスト実行」/「デフォルト拒否」アプローチに置き換える。
- ランタイムエージェントが使用できない、または意味をなさなくなったCWPPシナリオのためのアーキテクト。
- CWPPベンダーに対して、リスクの高い構成を特定するための統合的なクラウドセキュリティポスチャ管理(CSPM)機能の提供を要求する。
Gartnerが定義するCWPPにZscalerが適合する理由
Zscalerのプラットフォームの主要コンポーネントであるZscaler Cloud Protectionは、ワークロードの保護に不可欠なサービスを提供しています。それには、以下が含まれます。
クラウドセキュリティポスチャ管理
クラウドアプリケーションの設定ミスは、企業データの安全性を損なうものであり、クラウドデータ損失の最も一般的な原因のひとつです。クラウドセキュリティポスチャ管理 (CSPM)は IaaS、PaaS、SaaS(Microsoft 365など)のアプリケーションの設定ミスを素早く特定し、修正します。
ゼロトラストアクセス
今日、VPNまたはユーザ、アプリケーションのインターネット上での公開は、ネットワークの発見、攻撃、悪用の可能性を高めます。これは、インターネットに面したファイアウォールやツールはすべて潜在的な攻撃対象であり、リスクの増大につながるバックドアとなるからです。Zero Trust Exchangeに含まれる Zscaler Private Access (ZPA) は、従業員、BtoB顧客、サプライヤーをネットワーク上に配置することなく、そしてアプリケーションをインターネットに公開することなく、クラウドアプリケーションに安全にアクセスできる環境を提供します。
安全なAny-to-Any接続
「信頼できる」ネットワークをサイト間VPNでパブリッククラウドに拡張することは、コストがかかるうえ、危険で複雑なアプローチです。一方、 Zscaler Cloud Connectorは、ハイブリッドでマルチクラウドにおけるゼロトラストのアプリ間およびアプリからインターネットへの接続を提供します。Cloud Connectorは本質的に、ハブ、仮想ファイアウォール、VPN、静的なネットワークベースのポリシーの複雑さと高コストを回避します。
ワークロードのセグメンテーション
IPベースのネットワークセグメンテーションは、動的に変化するクラウドのワークロードへの対応には適していません。ほとんどのセグメントで必要以上に開放的に設定されているため、露出や横移動の可能性が高くなります。Zscaler Workload Segmentationは、アプリのワークロードのマイクロセグメンテーションをより迅速に実現する方法です。ネットワークに変更を加えず、マイクロセグメンテーションポリシーを90%削減しながら、リスクの特定、セグメンテーションの適用、ポリシーの自動更新を迅速に行うことができます。
Zscaler Workload Segmentationを含むZscaler Cloud Protectionサービスは、総合的で将来性のあるクラウドワークロード保護プラットフォームに課されるGartnerの厳しい要件を満たしています。