Edgewiseとは

Edgewiseについて

Edgewiseの掲げる軸であったのが、「データ漏洩や重要なビジネス アプリケーションの侵害の阻止」でした。セグメント化されていないネットワークは、攻撃者が保護されていないネットワーク経路を通って脆弱なターゲットに到達できるという状況を生み出します。マイクロセグメンテーションはこれに対処する一般的な方法でしたが、仮想LAN、ファイアウォール、アクセス制御リスト(ACL)などの従来型ソリューションを使用してセグメンテーションを行うと、リソースを大量に消費するだけでなく、実装と管理が複雑になり、限定的な保護に対してコストがかかりすぎるという問題がありました。

Edgewiseはマイクロセグメンテーションに対し、複雑なアドレスベースの制御という従来のアプローチではなく、ソフトウェア アイデンティティーを使った新しいアプローチを採用しました。機械学習で構築されたアイデンティティーベースのポリシーは、ネットワークを変更することなく、あらゆるクラウドやコンテナー環境のすべてのアプリケーションを保護できます。このアプローチでは、通信が許可される前にマシン アイデンティティーとソフトウェア アイデンティティーの検証が必要になります。

Gartnerは、Edgewiseが生み出したこの革新的なアプローチを評価して、2018年のCool Vendorの1社に位置付けました。

マイクロセグメンテーションへの新しいアプローチ

マイクロセグメンテーションは、同じネットワーク セグメント内にあるサーバー間のトラフィックを緩和する手段として生まれました。そこから、リクエスト元のサーバー、アプリケーション、ホスト、またはユーザーのアイデンティティーが、そのリソースに対して構成された権限と一致する限り、セグメント内のトラフィック(サーバーA ⇄ サーバーB、アプリケーションA ⇄ ホストBなど)を含むよう進化しました。

ネットワーク セグメンテーションがネットワーク アドレスに依存するのに対し、マイクロセグメンテーションのアクセス許可は基礎となるインフラに依存せず、リソースのアイデンティティーがベースとなるため、データ センター内で通信するワークロードの特性に基づいて効率的なワークロードのグループを作成するのに適しています。また、ワークロードを互いに分離して個別に保護できるため、よりきめ細かなかつ堅牢なセキュリティを確保できます。

ゼロトラスト フレームワークの中核をなすマイクロセグメンテーションは、特定のネットワーク構造やそのビジネス要件、技術要件に依存しません。また、管理も非常にシンプルで、何百ものアドレスベースのルールの代わりに、わずか数個のアイデンティティーベースのポリシーでセグメントを保護することができます。

マイクロセグメンテーションを使用することで、IT部門はさまざまな種類のトラフィックに合わせてセキュリティの設定を調整し、ワークロード間のネットワークとアプリケーションのフローを明示的に許可されたものだけに制限するポリシーを作成できるようになります。このゼロトラスト セキュリティ モデルでは、例えば医療機器は他の医療機器と通信することのみを許可するといったポリシーを設定できます。デバイスまたはワークロードが移動する際は、セキュリティ ポリシーと属性も共に移動します。

セグメンテーション ルールをワークロードやアプリケーションにまで適用することで、IT部門は侵害されたワークロードやアプリケーションから別のワークロードやアプリケーションに攻撃者が移動するリスクを軽減できます。

EdgewiseとZscaler

クラウド、モビリティー、IoTが一般的になりつつある今、これまで主流であった境界ベースのネットワーク セキュリティでは十分な効果を発揮できません。こういった旧式のセキュリティ技術で高度な脅威に対処している組織は、East-Westトラフィックとしてネットワーク内を自由に水平移動できる最新のステルス攻撃に対して脆弱なままとなります。たった1台の侵害されたサーバーによって、攻撃者はネットワーク上の複数のサーバーやアプリケーションに危害を加えることができるのです。

Edgewiseのマイクロセグメンテーション技術は、個々のアプリケーションとその正当な通信パターンを検出します。また、AIと機械学習アルゴリズムを使用して、承認された通信を自動的に作成および適用し、アプリケーションをセグメント化します。従来のネットワーク セグメンテーションでは、現代の動的で一時的なワークロードを保護するうえで必要となる、きめ細かく柔軟なポリシーを提供できません。

脅威を取り巻く最新の状況を考えると、サイバーセキュリティはネットワークではなく、ユーザー、アプリケーション、データの保護に重点を置く必要があります。Zscalerはユーザーを企業ネットワークに接続することなく、ビジネス ポリシーに基づいてユーザーとアプリケーション間の接続を保護するゼロトラスト ネットワーク アクセス(ZTNA)を採用しています。Zscalerのゼロトラストのアプローチを、安全なアプリ間通信に拡張することは非常に重要です。Edgewiseの買収により、Zscaler Zero Trust Exchange™の機能が拡大し、パブリック クラウドやデータ センター向けのより強力なセキュリティがZscaler Workload Segmentation (ZWS)の一環として提供されるようになりました。

Zscaler Workload Segmentation

Zscaler Workload Segmentation (ZWS)は、データ センターとクラウド環境のアプリケーションとワークロードを保護しながら、ポリシーの作成と管理を自動化することで、マイクロセグメンテーションを簡素化します。Zscalerのクラウド ネイティブなセキュリティ プラットフォームはワンクリックで組織全体のリスクを見つけ出し、ネットワークを一切変更することなく、ワークロードにアイデンティティーベースの保護を適用します。

ZWSのソフトウェア アイデンティティーベースのテクノロジーは、環境の変化に自動的に適応するポリシーで隙のない保護を提供し、攻撃対象領域を排除します。

ZWSは機械学習を使用してアプリケーションの通信トポロジーをマッピングすることから始めます。このプロセスには約72時間かかりますが、手動で実施する場合は数か月程度必要になります。

このプロセスが完了すると、Zscalerは利用可能なネットワーク パスの合計と、業務アプリケーションが必要とするアプリケーション パスを測定できるようになりますが、通常必要となるのは既存のパスの一部のみです。不要な通信経路をすべて排除することで、攻撃対象領域を削減できます。

ZWSは、次のようなユース ケースをサポートします。

• クラウド ワークロードの保護
• アプリ/データ フローのマッピングと公開部分の可視化
• コンテナー セキュリティ
• セキュリティ監視とイベント相関付け