ハイブリッドクラウドセキュリティとは?
ハイブリッドクラウドとは、パブリッククラウドとプライベートクラウドの両方を1つのコンピューティングシステムとして組み合わせて使用することを指しますが、ハイブリッドクラウドセキュリティは、ハイブリッドクラウド環境において企業のデータ、アプリケーション、リソースを保護する方法を規定したものです。ハイブリッドクラウドセキュリティの目標は、あらゆる環境にわたって保護を統一し、集中管理することです。しかし、ハイブリッドクラウドのセキュリティの詳細に入る前に、ハイブリッドクラウドの性質と意味を理解する必要があります。
ハイブリッドクラウドを理解する
パブリッククラウド は、Amazon AWS、Microsoft Azure、Google Cloud などのサードパーティクラウドサービスによって提供されています。アプリケーションやストレージなどのリソースを、遠隔地のユーザーが無償で利用できるようにするか、あるいは使用量に応じた課金モデルなど、さまざまなサブスクリプションやオンデマンドの価格体系で提供します。パブリッククラウドプロバイダーは、お客様のデータが動作するインフラを保護する責任を負っています。
プライベートクラウド は、1つの組織内の特定のユーザーのみがアクセスできるインフラでホスティングされています。プライベートクラウドは、企業の敷地内にあるデータセンターでホスティングされることもあります。あるいは、プライベートクラウドは第三者のインフラでホスティングされるものの、そのクラウドが稼働する特定のサーバーマシンにアクセスできる外部エンティティは利用者企業だけです。プライベートクラウドは、パブリッククラウドよりも制御性が高い反面、コストが高く、導入に手間がかかります。
ハイブリッドクラウド モデルは、オンプレミスのプライベートクラウドとサードパーティのパブリッククラウドサービスを組み合わせて使用し、2つのプラットフォーム間でオーケストレーションを行うクラウドコンピューティング環境です。ハイブリッドクラウドは、コンピューティングのニーズやコストの変化に応じてワークロードをプライベートクラウドとパブリッククラウドの間で移動させることができるため、企業にとって柔軟性を向上させ、データ展開の選択肢を増やすことができます。
このハイブリッドクラウド環境に対する一般的なアプローチとして、クラウドデータを「低・中程度の機密性」「高度の機密性」に分類することが挙げられます。特に業界要件や地域的な規制は、どのような種類のデータが他より機密性が高いか、また異なるセキュリティレベルをどのように管理すべきかを決定するのに役立ちます。多くの場合、機密性の低いデータはパブリッククラウドに、機密性の高いデータはプライベートクラウドに保存されます。しかし、パブリッククラウドにある機密性の低いデータであっても、可能な限りセキュリティを確保することが必要です。
ほとんどの企業は、全データをパブリッククラウドに保存するリスクを負え合いし、完全に自社で管理するコストを負担できないため、ハイブリッドクラウド戦略を採用するでしょう。
ハイブリッドクラウドセキュリティに関する主な検討事項
前述の通り、 ハイブリッドクラウドセキュリティは、ハイブリッドクラウド環境において企業のデータ、アプリケーション、リソースを保護する方法について規定しています 。ハイブリッドクラウド環境のセキュリティを確保する上で対応しなければならない重要な領域には、次のようなものがあります。
- 従来型のセキュリティ:ハイブリッドクラウド環境では、ITチームとセキュリティチームがコンピューティング環境を完全に制御することができなくなるため、従来型のセキュリティと異なる考え方が必要です。従業員が日常的に使用しているコンピューティング資産の多くは、もはや企業の敷地内に配置されていません。このため、企業はクラウド事業者のセキュリティ対策を調査し、業界要件や法的要件を満たしていることを確認する必要があります。事業継続プランは、プロバイダーが利用者に対する継続的な運用を保証する義務を果たすためのサービスレベル契約に含まれなければなりません。また、災害復旧プランは、データおよびアプリケーションなどの資産を確実に保護する必要があります。
- インシデント処理:ハイブリッドクラウド環境では、少なくとも2つの意味でインシデント処理の方法が変化します。まず、自社データセンターはコントロールできても、少なくともインフラの一部はサービスプロバイダーがコントロールしているため、インシデントが発生した場合後者との連携が必要になります。次に、マルチクラウドの性質上、情報が混在することがあり、インシデント調査が複雑化することがよくあります。また、サービスプロバイダーはデータプライバシーに配慮しているため、ログ解析が困難な場合があります。サービスプロバイダーがどのようにインシデントを定義しているのか、また、関係者全員が満足するようにプロバイダーとどのように協力すればよいのかを利用者組織が理解することが重要です。
- アプリケーションセキュリティ:アプリケーションがクラウド上にある場合、あらゆる種類のセキュリティ脅威にさらされることになります。アプリケーションセキュリティは、クラウド上でのソフトウェア開発ライフサイクルの確保、認証・認可・コンプライアンス、アイデンティティ管理、アプリケーション認可管理、アプリケーション監視、アプリケーションの倫理的ハッキング、リスク管理など、複数の領域をカバーすることができます。
- 暗号化とカギの管理:データ暗号化とは、テキストを認可を受けた者しか解読できない暗号文と呼ばれる文字形式に変換できる一連のアルゴリズムのことを指します。暗号化されたメッセージの受信者は、解読アルゴリズムを動かすカギを使ってデータを復号し、元のメッセージを許可を受けたユーザーに提供します。そのため、意図した相手だけが復号化できるようにデータを暗号化することができます。パブリッククラウドでは、クラウドへの移動やクラウドに入った後の安全性を懸念して、情報をすべて暗号化したくなる組織もあるかもしれません。最近、この分野の専門家の間で、暗号化以外のセキュリティ対策として、クラウドで使えるものを検討する動きも見られるようになってきています。
- アイデンティティとアクセス管理:アイデンティティ管理は、データセンターの多くの領域に関係する非常に幅広いトピックです。アイデンティティ管理の目的は、コンピュータリソース、アプリケーション、データ、およびサービスへのアクセスを制御することです。クラウド環境では、アイデンティティ管理が大きく変わります。従来のデータセンターでは、認証にディレクトリサービスを使用し、アプリケーションをファイアウォール内の安全地帯に配置することがあります。クラウドでは、リソースへのアクセスを安全にするために、多くの場合複数のアイデンティティ形態が必要になります。
ハイブリッドクラウドセキュリティへの強力なアプローチ
多くの企業は、プライベートクラウドには特定のセキュリティプラットフォームと戦略を、そしてパブリッククラウドには別のセキュリティソリューションを選択しているため、互いに互換性がないことがよくあります。理想的には、セキュリティと IT の両チームは、両方の環境を同時に保護しながら上記の項目に対応し、さらにすべてのトラフィックを自由に見ることができる 統合プラットフォームが求められます。
この種のセキュリティ・プラットフォームで重要なのは、クラウド用に構築され、今日の組織が活動するクラウドの世界における非常に特殊な要件に対応しなければならないことです。言い換えるなら、アプリが複数の環境に存在する今、セキュリティはネットワークの境界を越えなければならないのです。セキュリティのパラダイムは、静的なネットワークから、ユーザー、デバイス、アプリに移行しなければなりません。また、IPアドレスに基づくセキュリティなど、過剰な信頼に陥りやすいアーキテクチャを根絶する必要があります。デフォルトで「許可」をする姿勢が暗黙の信頼を許し、それが悪意のある者に悪用される可能性があるからです。また、セキュリティ・インフラは、クラウド導入の取り組みを減速させるのではなく、逆に加速させる必要があります。クラウドで提供されるセキュリティは、ハイブリッドクラウド戦略を採用するユーザーにとって理想的なものです。
そのためには、ゼロトラスト・アプローチが最適なのです。ZTNA(Zero Trust Network Access)は、SDP(Software-Defined Perimeter)としても知られ、クラウドやオンプレミスのあらゆる環境で同一化したセキュリティを提供し、適応型信頼モデルで運用するゼロトラストテクノロジーです。信頼は決して暗黙の了解ではなく、アクセスはきめ細かいポリシーで定義された「知る必要がある」「最小限の特権」に基づいて許可されます。ZTNAは、あらゆる環境にあるプライベートアプリケーションをネットワーク上に置いたり、アプリケーションをインターネットに公開したりすることなく、シームレスかつ安全に接続することを可能にします。
ゼロトラストアーキテクチャをベースに構築された Zscaler Cloud Security Platformは接続元ユーザー、アクセス先アプリ、そして使用されている暗号に関係なく、すべての接続が検査され保護されることを保証します。セキュリティ制御は、 統合プラットフォーム に組み込まれており、互いに通信することでプライベートまたはパブリッククラウドを問わず、ネットワーク上を移動するすべてのトラフィックに関する全体像を提供します。単一のインターフェースを通じて、世界中からの全リクエストを、ユーザー別、場所別、またはデバイス別に瞬時に把握することができます。
MicrosoftとZscaler - すべてのアプリケーションへの高速で安全なアクセスを実現
ウェビナーを見る(英語)
ハイブリッドアプリへのセキュアアクセスを実現する3つのポイント
ブログを読む(英語)
ZPAによるマルチクラウドとハイブリッドアクセスの保護
ビデオを見る(英語)