マイクロセグメンテーションに基づいて構築されたゼロトラスト戦略がクラウドリスクを解決する方法

データセンターの時代は終わりました。私たちはクラウドの時代に突入しています。すぐに減速する気配はありません。

組織は、基盤となるホスティングインフラストラクチャを維持するタスクをクラウドベンダーに引き継いでいます。これにより、アプリケーションとデータに集中する時間が増え、継続的なデプロイメント業務が合理化されます。

しかし、クラウドのサービスやメリットが増えるにつれて、サイバー犯罪者にとって新たな機会も増えています。

このブログ記事では、クラウドセキュリティの主なリスクと、それらがクラウド環境に与える影響、そしてマイクロセグメンテーションを活用したゼロトラストアプローチが、避けられないクラウドbreaches を封じ込める準備に役立つ理由を探ります。

脆弱性をもたらすクラウドセキュリティの 4 つの課題

ザの 雲 比類のない柔軟性とスケーラビリティを提供します。しかし、組織が無視できない新たなセキュリティリスクももたらします。組織を危険にさらしているクラウドセキュリティの主な問題は次のとおりです。

1。クラウドベンダーはインフラストラクチャを保護しますが、データは保護しません

これは、データ漏えいが発生するまでは思い込みに過ぎないことが多すぎます。

クラウドベンダー ホスティングインフラストラクチャを保護するためにベストエフォート型のアプローチを適用します。たとえば、ネットワークトラフィックのエンジニアリングや防止などの優先事項に取り組みます 分散型サービス拒否 (DDoS) 攻撃 ホスティングインフラストラクチャを通じて。

ただし、そのインフラストラクチャにデプロイされたアプリケーションとデータを保護する作業は、お客様の責任です。

実際には、これは不均一な握手です。クラウドベンダーが自社のプラットフォームに組み込んでいる重要なセキュリティ機能にもかかわらず、クラウドセキュリティの責任の大部分は顧客にあります。そうでないと仮定すると、侵害への近道となります。

2。クラウド環境を完全に制御することはできない

クラウドの利点の 1 つは、コンピュートインスタンスを簡単に作成でき、リソースとそれらの間のすべての依存関係を完全に自動化できることです。つまり DevOps オーケストレーションソリューションに運用の詳細を含めることができるため、手動プロセスを排除できます。

ただし、すべてのリソースを完全に制御できるわけではありません。

• 完全に制御されたリソースには、企業所有のクラウド仮想マシン (VM) やクラウドストレージが含まれます。

• ただし、パートナー、請負業者、またはそれらのリソースへのリモートアクセスなど、サードパーティのアクセスに依存している場合、それらは部分的にしか制御できません。

平均的なハイブリッドクラウド環境では、クラウドからデータセンター、リモートアクセスデバイスまで、さまざまな制御レベルのリソースが多数混在しており、すべて同じアーキテクチャ内にあります。

ベストプラクティスを利用して、自社のクラウドリソースを保護できます。しかし、御社のパートナーや請負業者が、御社のリソースへのアクセスに使用しているリソースを適切に保護してくれると信頼できますか？

3。基本的なヒューマンエラーはクラウドの最大のリスクです

クラウドリソースのすべての所有者がセキュリティのベストプラクティスを適用しているわけではないことを想定する必要があります。たとえ彼らが何を主張していようと、あるいは信じていることにもかかわらずです。

そして、彼らのクラウドセキュリティ問題の出発点は、基本的なヒューマンエラーである可能性が高いです。つまり、自分のチームでも同様のミスを犯す可能性があるということです。

実際、クラウドで発生したすべてのセキュリティbreaches の半数以上は、次の原因によるものです。 ヒューマンエラー。必要なのは単純な間違いだけです。脆弱なパスワードを選択したり、SSHキーを定期的にローテーションしなかったり、リスクのあるクラウドワークロードにパッチを適用しなかったりします。

そのためには、DevOpsの優先順位に影響を与えずに、信頼の境界をすべてのワークロードにできる限り近づけるセキュリティソリューションが必要です。

4。見えないものは保護できる

クラウド環境は常に変化しています。また、多くの組織は複数のクラウドベンダーを利用してハイブリッドマルチクラウド戦略を構築しています。これにより、セキュリティチームに特有の可視性の課題が生じます。

アプリケーション、ワークロード、依存関係は、複数のクラウドベンダーで常に変化しています。この複雑さにより、トラフィックフローとリソースの関係をリアルタイムで完全に理解することは困難です。このような重要な可視性がなければ、セキュリティに関する意思決定者は保護を設定する際に当て推量に頼らざるを得ません。これにより、攻撃者が悪用する潜在的なギャップが残ります。

右の 可視性ツール クラウド環境全体のすべてのトラフィックとアプリケーションの依存関係をあらゆる規模で詳細にリアルタイムで可視化することで、このギャップに対処する必要があります。これらの関係をマクロレベルとミクロレベルの両方で視覚化できるソリューションを探してください。これにより、異常や潜在的な脅威が害を及ぼす前に特定できます。

ゼロトラスト:最新のクラウドセキュリティへの最善のアプローチ

A ゼロトラストセキュリティアーキテクチャ これを可能にします—そしてそれは絶対に必要です。クラウドはサイバー犯罪者の遊び場になっています。クラウドソースの脅威の最近の例は次のとおりです。

• コバロス 侵害されたホストをコマンドアンドコントロール (C2) サーバーとして使用して、クラウドワークロードから機密データを盗みます。

• フリークアウト クラウド VM でのクリプトジャッキングに、侵害されたホストを使用します。暗号通貨を無料でマイニングし、他人のクラウドコストを押し上げます。

• IPStorm クラウドホスト間のオープンピアツーピア（P2P）セッションを使用して、悪意のあるコードを配信および実行します。

• ドロヴォルブ オープンポートを使用してクラウドホストからデータを抽出します。

これらの例には共通点が1つあります。それは、いったん侵害されたクラウドワークロードに着手すると、すぐに他のワークロードにも広がるということです。これにより、多くの場合、脅威ハンティングツールで検出される前に、多数のホストを迅速に侵害できます。

これが、脅威ハンティングソリューションがマルウェアの拡散を防ぐのに苦労することが多い理由です。脅威の検出には優れていますが、脅威が特定される頃には、すでに脅威が広がっていることがよくあります。その時点で、脅威の意図を明らかにすることよりも、拡散を食い止めることの方が優先されます。

肝心なのは、脅威の拡散を阻止する必要があるということです。 前 検出されました。

マイクロセグメンテーションはあらゆるゼロトラスト戦略の基盤です

ゼロトラストアーキテクチャは、すべての脅威が拡散するために使用する1つの共通ベクトル、つまりセグメントを適用することから始める必要があります。

セグメントは大きくても小さくても作成できます。

• マクロセグメント プロテクトサーフェスと呼ばれる重要な資源の集まりを確保してください。

• マイクロセグメント 規模を問わず、あらゆるクラウドワークロードに信頼の限界を直接押し付けましょう。

マイクロセグメンテーション が望ましい目標です。基盤となる同じクラウドセグメントに複数のワークロードがデプロイされている場合でも、すべてのワークロードがソースで直接適用されます。

マイクロセグメンテーションは、潜在的に大きな数まで拡張できる必要があります。つまり、従来のネットワークベースのソリューションで設定されたセグメンテーションのスケーリング制限から切り離す必要があります。ネットワークセグメントはネットワークの優先順位に対処するために存在しますが、ワークロードセグメントはワークロードの優先順位に対処するために存在します。1 つのソリューションがもう 1 つのソリューションにうまく対応していません。

Illumio CloudSecure: ハイブリッドマルチクラウド全体で一貫したマイクロセグメンテーション

クラウドプロバイダーは自社のワークロードを保護するためのツールを提供していますが、それらのツールは通常、複数のクラウド、データセンター、またはエンドポイントでは機能しません。また、環境ごとに個別のセキュリティツールを使用すると、サイロが生じます。これにより、セキュリティ侵害の際にセキュリティの死角を突き止め、点と点をつなぐことが難しくなり、侵害への対応が遅くなります。

その一部として イルミオゼロトラストセグメンテーション (ZTS) プラットフォーム、Illumio CloudSecureは、クラウドワークロードの一貫したマイクロセグメンテーションを実現し、データセンターやエンドポイント全体にデプロイされたワークロードとシームレスに連携し、すべて単一のプラットフォーム内で実現します。イルミオのプラットフォームでは、あらゆる環境のすべてのネットワークトラフィックをあらゆる規模で確認および制御できます。

クラウドセキュア エージェントレスアーキテクチャでクラウドワークロードを確認して適用するのに役立ちます。すべてのネットワークトラフィックとアプリケーションの依存関係をクラウドから直接検出します。ネットワーク全体で同じポリシーモデルを使用し、Azure Network Security Groups (NSG) や AWS セキュリティグループなどのクラウドネイティブなセキュリティツールを使用してポリシーを適用します。

たとえば、ワークロード間でDNSが開いたままになっている場合、Illumioは引き続きDNSトラフィックを監視して正常な動作を確認します。通常、DNS トラフィックは 1 クエリあたり 500 バイト未満です。しかし、Illumio が DNS セッションで 10 ギガバイトのデータが移動していることを検出した場合、DNS トラフィックに不審なものが隠れているという危険信号である可能性があります。イルミオは、脅威ハンティングツールが最初にトラフィックを見つけて分析するのを待たずに、このトラフィックをすぐにブロックします。

その結果、環境がエージェントベースのアプローチであるかエージェントレスのアプローチを採用しているかにかかわらず、すべてのセグメントを1つのシームレスなソリューションで明確に確認して保護できるゼロトラストアーキテクチャが実現しました。

複雑さを伴わずにクラウドbreaches を封じ込める

クラウドセキュリティはもはや後回しにすることはできません。

クラウドは比類のない柔軟性とスケーラビリティを提供しますが、サイバー犯罪者にとって新たな機会ももたらします。セキュリティを維持するために、組織はマイクロセグメンテーションに基づいたゼロトラストアプローチを採用して、breaches が広がる前に侵入を封じ込める必要があります。

Illumio CloudSecureでマイクロセグメンテーションを構築することで、あらゆる環境でワークロードを大規模に保護するために必要な可視性と制御を得ることができます。

次の避けられないクラウド侵害に備えましょう。[ダウンロード] クラウドレジリエンスプレイブック。