リソース > セキュリティ用語集 > クラウドワークロードセグメンテーションとは

クラウドワークロードセグメンテーションとは

クラウドワークロードセグメンテーションとは

クラウドワークロードセグメンテーションは、ネットワークに対してアーキテクチャの変更を加えることなく、ワークロードにアイデンティティベースの保護を適用するクラウドベースのプロセスです。

 

マイクロセグメンテーションの必要性

マイクロセグメンテーションは、同じネットワークセグメント内にあるサーバ間のトラフィックのモデレーションを行う手段として生まれました。リクエストしているリソース(サーバ/アプリケーション/ホスト/ユーザ)のアイデンティティがそのリソースに対して設定された許可と一致する限り、サーバAがサーバBと、アプリケーションAがホストBと通信できるようにするなど、マイクロセグメンテーションはセグメント内のトラフィックを取り入れるように発展してきました。

従来型のネットワークベースのマイクロセグメンテーションソリューションは、ルールの適用にネットワークアドレスを使用する仮想ファイアウォールに依存しています。しかし、ネットワークは絶えず変化するため、ネットワークアドレスへの依存は運用がより複雑化することを意味し、アプリケーションやデバイスの移動に応じてポリシーを継続的に更新する必要が生じます。更新を絶えず実施することはデータセンタでは難題であり、クラウドやIPアドレスが一時的なものである場合はさらに困難になります。

ネットワークアドレスに基づくセグメンテーションのアプローチでは、何が通信しているのか(例:ソフトウェアのアイデンティティなど)を特定することはできず、リクエスト発生元のIPアドレスやポート、プロトコルなどを含む、通信の方法を把握することしかできません。これらが「安全」とみなされる限り、IT部門は何が通信しようとしているのかを正確に把握していない場合でも、通信が許可されてしまいます。さらに、ネットワークゾーン内にエンティティが入ると、そのエンティティは信頼されることになり、この「信頼」を悪意のあるアクターが悪用してクラウドやデータセンタ内を水平移動するリスクが生じます。

この従来型のアプローチが作り出すネットワークは、フラットなネットワークとして知られています。このネットワークでは、保護されていない経路を経由した過剰なアクセスを許可しているため、攻撃者が水平移動を行い、クラウドやデータセンタ環境のワークロードを侵害できるようになります。その上、従来型の仮想ファイアウォールを使用したネットワークセグメンテーションには、セキュリティ面での利点に見合わないほどのコストや複雑さ、および時間がかかります。

こうしたネットワークベースの信頼モデルはセキュリティ侵害につながるリスクがあり、これがマイクロセグメンテーションが発展した主な理由の1つです。

マイクロセグメンテーションは、企業がワークロード間の通信をより効果的に制御して個別に保護できるように、アプリケーションのワークロード自体を保護する方法です。トラフィックのきめ細かな制御を可能にし、ネットワーク攻撃対象領域を排除することが目的となっています。

マイクロセグメンテーションを使用することで、IT担当部門はさまざまな種類のビジネスアプリケーションに合わせてセキュリティの設定を調整することが可能になり、ワークロード間のネットワークフローとアプリケーションフローを明示的に許可されたものに制限するポリシーが作成できるようになります。このゼロトラストセキュリティモデルでは、あるホスト上で実行されている特定のアプリケーションは他のホスト上で実行されているアプリケーションソフトウェアとのみ通信できる、といったポリシーを設定できます。例を挙げると、すべてのPCI関連ソフトウェアのマイクロセグメンテーションを行ってPCI環境へのアクセスを厳しく制御し、スコープ内のシステム数を減らすことが可能です。そして、デバイスまたはワークロードが移動する際には、セキュリティポリシーと属性も共に移動します。

セグメンテーションルールをワークロードまたはアプリケーションにまで適用することで、IT部門は侵害されたワークロードやアプリケーションから別のワークロード、アプリケーションに攻撃者が移動するリスクを軽減できます。 

また、クラウドベースのゼロトラストアプローチを使用して、ユーザとアプリケーションを企業ネットワークに接続せず、ビジネスポリシーに基づいて両者間の接続を保護すること(ゼロトラストネットワークアクセス(ZTNA)アプローチ)により、パブリッククラウドとデータセンタのセキュリティが強化されます。

セグメンテーションルールをワークロードまたはアプリケーションにまで適用することで、IT部門は侵害されたワークロードやアプリケーションから別のワークロード、アプリケーションに攻撃者が移動するリスクを軽減できます。

Ann Bednarz氏、Network World

Zscalerが提供するクラウドワークロードセグメンテーション

Zscaler Workload Segmentation(ZWS)は、クラウドとデータセンタのアプリケーションとワークロードを保護すると同時に、ポリシーの作成と管理を自動化することでマイクロセグメンテーションを簡素化させます。

ZWSはワンクリックで組織の抱えるリスクを見つけ出し、ネットワークに一切変更を加えずにアイデンティティベースの保護をワークロードに適用できます。ZWSのソフトウェアアイデンティティベースのテクノロジは、環境の変化に自動的に適応するポリシーにより、隙のない保護を提供します。つまり、ZWSを使用することでネットワークの攻撃対象領域が簡単に排除できるのです。

ZWSでは、機械学習を使用してアプリケーション通信トポロジをマッピングすることからプロセスが始まりますが、これには約72時間かかります。手動による実行には数か月間かかることを考えると、大幅な改善と言えます。これが完了すると、Zscalerは利用可能なネットワークパスの合計とビジネスアプリケーションが実際に必要とするアプリケーションパスの数を測定できるようになります。通常、必要な経路はほんの一部のため、不要な通信パスをすべて排除することで攻撃対象領域を削減できます。

アイデンティティベースのマイクロセグメンテーションを有効にするために、各デバイスならびにソフトウェアのアセットには、アセット自体の数十を超えるプロパティに基づいて、不変かつ一意的なアイデンティティが割り当てられます。アイデンティティはサブプロセスのレベルまで拡張されるため、個々のJava JARやPythonスクリプトも一意に識別でき、アイデンティティの作成と管理は完全に自動化されるため運用が容易になります。

Zscalerは、通信を行うソフトウェアのアイデンティティをリアルタイムで検証します。このゼロトラストのアプローチにより、承認されていない悪意のあるソフトウェアの通信を防止でき、承認されたファイアウォールルールを悪用したピギーバック攻撃は効力を発揮しなくなります。アイデンティティこそが、従来型のネットワークセキュリティ制御よりもシンプルな運用と強力な保護を実現するカギとなるのです。

通信を行うソフトウェアのアイデンティティは非常に具体的であるため、Zscalerはセグメントの保護のために必要なポリシーの数を簡素化します。前述のように、当社プラットフォームは各セグメントに対して、どのアプリケーションとデバイスが互いに通信できるかを正確に定めるポリシーを構築しますが、その数は7つ以下に抑えられます。また、セグメンテーションポリシーはソフトウェアアイデンティティを使用して構築されるため、基盤になるネットワークが変更された場合であってもポリシーが崩壊することはありません。また、通信を試みようとするものの一意のアイデンティティをシステムで検証できない場合、当該の通信は行われません。

Zscaler Workload Segmentationを使用することで、セグメントや関連するポリシーの作成をわずか数分で実行できます。

 

デモのリクエスト

Zscaler Workload Segmentationのより詳細な情報をご希望の場合は、こちらからデモをリクエストしてください。

ワンクリックのゼロトラスト

データシートを読む(英語)
ワンクリックのゼロトラスト

マイクロセグメンテーションとネットワークセグメンテーションの相違点

ブログを読む(英語)
マイクロセグメンテーションとネットワークセグメンテーションの相違点

Zscaler Workload Segmentationで顧客データのセキュリティを強化したGoulston & Storrsの事例

事例を読む(英語)
Zscaler Workload Segmentationで顧客データのセキュリティを強化したGoulston & Storrsの事例