Zpedia 

/ クラウド ワークロード セキュリティとは

クラウド ワークロード セキュリティとは

クラウド ワークロード セキュリティは、データベースやKubernetesなどのコンテナー、また仮想マシン(VM)および物理サーバーにあるワークロードが、クラウド環境内を移動する際に保護を受けられるように構築されたセキュリティ ソリューションです。
ワークロード セキュリティの詳細はこちら
クラウド セキュリティデータ保護
  1. 重要な理由
  2. 仕組み
  3. セキュリティ リスク
  4. 主な要素
  5. メリット
  6. ベスト プラクティス
  7. Zscalerのソリューション
  8. おすすめのリソース
  9. 関連するトピック

クラウド ワークロード セキュリティが重要な理由

オンプレミスのソリューションからクラウド コンピューティングを中心としたデジタル ビジネス モデルに移行する組織が増えるにつれて、それらの組織のデータやアプリケーションはAWSやMicrosoft Azure、Google Cloudなどのクラウド プロバイダーを通じてクラウドに移行しています。ワークロード セグメンテーションその際、アプリケーションとSaaSはすべてインターネット経由で接続しながら、異なるクラウド環境やデータ センター間で通信し合うことになるため、両者の間を移動するデータの保護における課題が表面化してきます。

つまり、クラウド ワークロードの保護に関しては、対処すべき脆弱性が数多く存在するのです。そこでクラウド ワークロード セキュリティのソリューションを使用すると、組織は対象となるワークロードの特定、管理、保護を行えるようになり、リスクの軽減やコンプライアンスの改善、アプリケーションのスケーラビリティ向上など、全体的なセキュリティ ポスチャーを改善することが可能になります。

クラウド ワークロード セキュリティの仕組み

クラウド ワークロード セキュリティはクラウド ワークロード保護とも呼ばれ、ワークロード セグメンテーションを中心にし展開し、アプリケーション ワークロードを小さなグループにセグメント化して、トラフィックの検査の簡素化と保護を行う機能を有します。

また、クラウド ワークロード セキュリティのソリューションを使用することで、組織はクラウド アカウントやコンピューティング インスタンスとストレージ インスタンス、およびコントロール プレーンの検出、モニタリング、保護を行えます。これにより、導入時の設定ミスの可能性が低くなり、サイバーセキュリティ関連の問題によるリスクを軽減しながら、より多くのクラウド ネイティブ アプリケーションを大規模に開発、リリースできるようになります。

クラウド ワークロードのセキュリティ リスク

クラウド インフラストラクチャーを活用する最新の環境では、アプリケーションとサービスは全体的なセキュリティ戦略の中心的存在でなければなりません。しかし、実際はそうではない場合が非常に多いのが現実です。クラウド環境内のほとんどのトラフィックは東西方向の移動(環境内での移動)を行いますが、従来型のセキュリティ制御は通常、境界ゲートウェイを介して南北方向の移動(環境に出入りする移動)を行うトラフィックを保護するため、トラフィックのルートでソフトウェアを定義するだけではもはや不十分です。

セキュリティ制御はワークロードを中心とし、かつクラウド プラットフォームから分離されている必要があります。重要なのは、アクセス制御およびアクセス許可をアプリケーションが移動するネットワーク パスから切り離し、通信を行うアプリケーションとサービスのアイデンティティーに直接紐づけることです。これができない場合、ネットワーク経由の脅威がクラウド システムに侵入しやすくなってしまいます。

お客様の声

こうした攻撃から身を守るため、プライベート クラウドとパブリック クラウドを使用している組織は、エンドポイントだけでなくワークロードのレベルでの保護に集中する必要があります。

VMWare

時代遅れのセキュリティ戦略では不十分な理由

従来型のセキュリティツールが動作する信頼付与モデルは、クラウド上からインターネット経由で通信するアプリケーションが増えるにつれて、脅威を取り巻く現在の情勢において通用しなくなっています。ネットワーク セキュリティの境界は消滅しつつあり、ほぼすべてのトラフィックが暗号化されているため、トラフィックの検査はより困難になっています。

トラフィックの復号化や検査、再暗号化ができない時代遅れのセキュリティ制御は、ランサムウェアやその他のマルウェアなどのサイバー攻撃を見落としている可能性があります。 こうした攻撃から身を守るため、プライベート クラウドとパブリック クラウドを使用している組織は、エンドポイントだけでなくワークロードのレベルでの保護に集中する必要があります。

クラウド ワークロード セキュリティ プラットフォームの主な要素

ここで、強力なクラウド ワークロード セキュリティに必要な戦略について見ていきます。

マイクロセグメンテーションは、データ センター、ネットワーク、クラウド環境内に安全な隔離領域を作成し、ワークロードを個々に分離、保護する方法です。トラフィックのきめ細かなパーティショニングを可能にし、攻撃に対する保護を強化することを目的としています。

マイクロセグメンテーションを使用すると、ITセキュリティ部門はさまざまな種類のトラフィックに合わせてセキュリティ設定を調整し、ワークロード間のフローを明示的に許可されたものに制限するポリシーを作成できます。セグメンテーション ルールやきめ細かなポリシーをワークロードまたはアプリケーションに適用することで、攻撃者が侵害されたワークロードやアプリケーションから別のワークロード、アプリケーションに検出されることなく移動できるリスクを軽減できます。

混同されがちですが、これはステートフル インスペクション ファイアウォールまたは次世代ファイアウォールを使用してネットワークをより小さく監視しやすいチャンクに分割するネットワーク セグメンテーションとは異なります。この戦略は、これまでは効果的だったものの、クラウド環境やマルチクラウド環境に特有の制約を抱えています。

もう1つの重要な戦略は、ソフトウェア定義の境界(SDP)とも呼ばれるゼロトラスト ネットワーク アクセス(ZTNA)です。ZTNAは、適応型信頼モデルで動作する複数のテクノロジーで実現されます。このモデルでは、暗黙の信頼を決して付与することなく、ユーザーを必ず検証します。アクセスは、Need to Knowの原則に基づき、きめ細かいポリシーで定義される最小特権ベースで付与されます。

Gartnerは、2023年までに60%の企業がリモート アクセス仮想プライベート ネットワーク(VPN)を段階的に廃止してZTNAに移行すると予測しています。この予測が信ぴょう性を持つ理由は複数あり、ただ単にクラウド ワークロードの保護とセキュリティの向上を図れるためだけではありません。

マイクロセグメンテーションとZTNAはどちらも、実行時に組織のトラフィックとアプリケーションを保護するのに役立ちますが、クラウド ワークロード保護プラットフォームを使用することで、クラウド ワークロード セキュリティを完全に網羅できます。

お客様の声

クラウド ワークロード セキュリティのソリューションを使用することで、組織はクラウド アカウントやコンピューティング インスタンスとストレージ インスタンス、およびコントロール プレーンの検出、モニタリング、保護を行えます。これにより、より多くのアプリケーションを大規模に開発および導入できるようになると同時に、セキュリティの問題が発生するリスクを軽減し、全体的なセキュリティ、コンプライアンスのポスチャーを改善することができます。

AWS

クラウド ワークロード セキュリティの主なメリット

クラウド ワークロード セキュリティが、組織のリスクの軽減やセキュリティの簡素化にどのように役立つかを紹介します。

複雑さの軽減

サービス指向アーキテクチャーでは、資産やポリシーのインベントリーを追跡することが難しく、クラウド インスタンスが変更される度に依存関係に影響が及び、管理と可用性に関する問題が発生します。加えて、サービスが場所を変更する可能性があるため、クラウド内でのデータフローのマッピングは複雑であり、モニタリングと管理が必要なデータ ポイントの数も増加してしまいます。クラウド ワークロード セキュリティを用いることで、追跡と保護を簡素化し、環境ではなくアプリケーションに焦点を当てることで、変更による影響を予測できます。

ギャップのない保護

IPアドレス、ポート、およびプロトコルをコントロール プレーンとして使用する従来型のセキュリティ ツールは、クラウドのユース ケースには適していません。これは、クラウド サービスは動的にいつでも変化する性質を持っており、これらの静的なセキュリティ制御を頼りにできないためです。アドレスベースの制御に関する問題に対応するために、クラウド ワークロード セキュリティ プラットフォームは一貫したワークロード保護を提供しますが、その際に煩わしいアーキテクチャーの変更は必要ありません。

継続的なリスク評価

セキュリティの専門家の大多数は企業ネットワークが侵害に対して脆弱であることを認識しているものの、とりわけアプリケーションの露出に関連するリスクを定量化できない場合がほとんどです。クラウド ワークロード セキュリティのソリューションを利用すれば、可視化されているネットワーク攻撃対象領域を自動的に測定し、使用されている可能性のあるアプリケーション通信経路の数を把握できます。また、通信を行うソフトウェアの重要度に基づいてリスク エクスポージャーを定量化し、データ侵害のリスクを軽減するために必要な最小限のセキュリティ ポリシーの推奨情報を得ることも可能です。

クラウド ワークロード セキュリティのベスト プラクティス

クラウド ワークロード セキュリティ プラットフォームを選ぶ際、以下を実現できるものを選択するようにしましょう。

  • 開発時から実行時までワークロードを保護しながらDevOpsとの整合性を維持すること
  • クラウド ワークロードに対してインターネットやデータ センター、その他のアプリへの安全な接続を実現すること
  • すべてのユーザーとワークロードに対してゼロ トラスト アーキテクチャーを一貫して実行すること

最終的には、以下のことを把握できるクラウド ワークロードのセキュリティ プラット フォームを選び抜く必要があります。

  • どのアプリケーションが通信を行っているのか?
  • 通信を行うべきアプリケーションはどれか?
  • 悪意のあるトラフィックを持続させることなく、適切なシステム同士が通信をしているか?

現在のクラウド ワークロードには、DevOpsとSecOpsの管理を簡素化しつつ、総合的なゼロトラストの対象範囲を実現するセキュリティが必要です。つまり、クラウドのために、クラウドに組み込まれた実績のあるプラットフォームが求められるのですが、それを提供できるのはZscalerだけです。

お客様の声

Zscaler Workload Segmentationは、世界中の企業にとっての標準的な製品となる可能性を秘めています。現在存在するすべての専用のセキュリティ ツールと比べても、Zscaler Workload Segmentationの方が保護に関しては圧倒的に優れていると思います。さらに素晴らしいのが、驚くほどの使いやすさも両立している点です。

John Arsneault氏, Goulston & Storrs、CIO

Zscalerによるクラウド ワークロードの保護

Zscaler Workload Communicationsは、インターネットや他のクラウドおよびリージョンを宛先とする、ミッションクリティカルなクラウド ワークロードのトラフィックを保護します。また、Zscaler Zero Trust Exchange™を活用して、すべてのトラフィックをインラインで検査してサイバー脅威や情報漏洩から保護します。さらに、アクセス要求のアイデンティティーとコンテキストを検証し、インターネット、SaaSアプリ、プライベート ワークロードへの接続を確立する前に適切なポリシーを適用します。

ワークロードとインターネット間の通信

クラウド ワークロードからインターネットまたはSaaSのあらゆる宛先(サードパーティーAPI、ソフトウェア アップデートなど)へのアクセスを、すべてのトランザクションを検査するスケーラブルで信頼性の高いセキュリティ ソリューションを使用して実行させることができます。

ワークロード間の通信

パブリック クラウドのワークロードから、任意のパブリック クラウドやプライベート クラウド、同一クラウド内のVPC、ゾーン、リージョンへの通信を安全に行えます。VPNや高リスクの複雑なカスタム クラウド ルーティングは必要ありません。

Zscaler Workload Communicationsはラテラル ムーブメントを排除しながら、運用コストと複雑さを軽減し、一貫した脅威対策とデータ保護を提供します。

おすすめのリソース

Zscaler Workload Communications
データ シートを読む(英語)
Zscaler Workload Segmentationで顧客データのセキュリティを強化したGoulston & Storrsの事例
事例を読む
マイクロセグメンテーションとネットワーク セグメンテーションの違い
詳細を見る(英語)