ゼロトラストのディープダイブ(5)-クラウドセキュリティの全体像

[前回] ゼロトラストのディープダイブ(4)-SASE(Secure Access Service Edge)

はじめに

前回まで、SASE(Secure Access Service Edge)と、
SASEに求められる機能やサービスを勉強しました。

• SD-WAN(Software Defined Wide Area Network)
• SWG(Secure Web Gateway)
• CASB(Cloud Access Security Broker)
• ZTNA(Zero Trust Network Access)
• FWaaS(Firewall as a Service)
• WAAP(Web Application and API Protection)
• RBI(Remote browser isolation)
• Network sandbox
• DNS protection
• API-based access to SaaS for data context

などなど、キーワードが盛沢山。

これでは、木を見て森を見ずになってしまうので、
クラウドセキュリティに立返って、全体像を俯瞰します。

クラウドセキュリティの4つの必須技術

ガートナーの「クラウド・セキュリティのハイプ・サイクル：2021年」に登場した4つの必須テクノロジ
からの抜粋です。

• 背景

  • パブリック・クラウドがプライベート・データセンターのワークロードを上回るといった予測
  • クラウド・セキュリティは、情報セキュリティ・テクノロジ/サービス市場で急成長しているセグメント
  • 特にリモートワークやデジタル・ビジネス加速をサポートするイノベーションに関心が集まっている

• 課題

  • 法規制を遵守しつつ、効率的かつ統制された方法でクラウド戦略を実現したい
  • Web、クラウド・サービス、クラウド・ネイティブ・アプリケーションへのアクセスのセキュリティを強化したい

• クラウドセキュリティを確保するための4つの必須テクノロジ

  • SASE(セキュア・アクセス・サービス・エッジ)
    • 機能
      • クラウド・ベースの新興アーキテクチャ
      • 以下、ネットワークおよびネットワーク・セキュリティの関連サービスの組み合わせ
        • CASB
        • NGFW
        • SD-WAN
        • SWG
        • ZTNA
      • 対象範囲
        • 企業ネットワークにおける主要な拠点だけでなく
        • 在宅勤務の環境
        • パブリック・クラウドへのアクセス
      • 以下のコンテキストに沿ったセキュリティ・ポリシーを適用
        • ユーザーID
        • デバイスの種類
        • ネットワーク種別
    • メリット
      • 主にクラウド・デリバリ・モデルを介して
      • 重要なネットワークとネットワーク・セキュリティのサービス提供と運用を簡素化
      • ビジネスの迅速性と柔軟性、セキュリティを高める
  • SSE(セキュリティ・サービス・エッジ)
    • 機能
      • Web、クラウド・サービス、プライベート・アプリケーションへのアクセスのセキュリティを確保
      • 以下の方法で、許容可能なサービス利用を制御
        • アクセス・コントロール
        • 脅威保護
        • データ・セキュリティ
        • セキュリティ・モニタリング
      • すべての制御は、ネットワークやAPIベースの統合によって実行される
    • メリット
      • セキュリティ・ポリシーの施行にクラウド中心のアプローチを用いる
      • 時間や場所を問わず従業員をサポートできる
      • 複数の異なるセキュリティ機能を単一のプロダクトに統合し、複雑さを軽減
      • ユーザー・エクスペリエンスを向上させる
  • SSPM(SaaSセキュリティ状態管理)
    • 機能
      • セキュリティ状態を管理するテクノロジ
      • SaaSアプリケーションのセキュリティ・リスクを継続的に評価
      • 以下の情報を提案
        • ネイティブSaaSセキュリティ設定に関するレポート
        • アイデンティティ許可の管理
        • 構成を改善しリスクを軽減するための提案
    • メリット
      • クラウド・セキュリティ障害の元となる構成ミスを継続スキャン/排除し、リスク低減
        • ※ CASB(クラウド・アクセス・セキュリティ・ブローカ)は、SaaSレイヤで機密データへのアクセスを保護するが、高度な攻撃や複雑な構成ミスには対応できない
  • CNAPP(クラウド・ネイティブ・アプリケーション保護プラットフォーム)
    • 機能
      • 開発環境と本番環境両方で、クラウド・ネイティブ・アプリケーションのセキュリティと保護を支援
      • セキュリティとコンプライアンスに関連した機能セット
      • 以下の機能を統合
        • コンテナ・スキャン
        • CSPM
        • IaCスキャン
        • クラウド・インフラストラクチャ・エンタイトルメント管理
        • CWPP
    • メリット
      • 単一の統合プロダクトを使用し、クラウド・ネイティブ・アプリケーションのライフサイクル全体を保護
        • ※ 従来の、クラウド・ネイティブ・アプリケーションのセキュリティ確保
          • 複数ベンダー提供の、複数セキュリティ・テスト/保護ツールを使用する必要あり
            • 開発の速度が落ち、リスクを断片的にしか把握できなかった

おわりに

クラウドセキュリティ関連技術の全体像、その中でSASEの位置づけが見えてきました。
次回から、どのようなソリューションや技術が実際使用可能か探っていきます。
お楽しみに。

[次回] ゼロトラストのディープダイブ(6)-SSE(Security Service Edge)