M E N U C L O S E
2022/12/27

ネットワークセキュリティとクラウドの出会い

< ブログ一覧へ
※ 2022/3/1 時点の Network Security Meets Cloud の翻訳記事となります。

クラウドのメリットは現実的で具体的なものであり、企業や政府でさえ、多くの場合複数のクラウドプロバイダーを使用して、ミッションクリティカルなワークロードをクラウドでホストすることに慣れています。
デジタルトランスフォーメーションを真に成功させるには、クラウドリソースが安全でスケーラブルであり、重要なデータが信頼できるエンティティのみが利用できるようにセグメント化されている必要があります。
本ブログでは、マルチクラウドセキュリティのベストプラクティスと、AlkiraのCloud Networkas-a-Serviceプラットフォームがどのように役立つかについて詳しく説明します。

1.クラウドセキュリティの難問

デジタルイノベーションを加速する需要により、組織はアジャイルプラクティスと、コンテナやマイクロサービスなどのクラウドネイティブアーキテクチャを使用してクラウドでアプリケーションを構築するようになっています。
これらのコンテナは数秒以内に動的にスピンアップ/ダウンし、これらのマイクロサービスで実行されるアプリケーションには、複数のクラウドや地域にまたがる依存関係があります。
主要なクラウドプロバイダーは、コアクラウドインフラストラクチャ(基盤となるネットワーク、これらのワークロードをホストするハイパーバイザーなど)のセキュリティの基本的なベースラインを提供しますが、データを保護し、エッジからコア、クラウドへの接続を保護する責任は、依然としてお客様の責任であり、非常に複雑な課題になります。

今日のクラウドおよびマルチクラウドネットワークのワークロードを保護するために、従来のオンプレミスセキュリティモデルは単純に機能しません。
これらは静的な環境に対応し、これらのコントロールをクラウドに移行して移行すると、運用と管理がさらに複雑になります。さらに、セキュリティポリシーを適用するためにクラウドトラフィックをデータセンターまたは別のクラウドにバックホールすることは、実行可能なオプションではありません。そのような非効率性は、遅延の増加とアプリケーションのパフォーマンスの低下につながるためです。

クラウドネイティブのセキュリティ構造を適用することも簡単ではありません。クラウドプロバイダーごとに実装が異なり、すべてのプロバイダーのセキュリティノブを理解し、それらを使用してさまざまなダッシュボードから一貫したセキュリティポリシーを適用することは、非常に時間がかかり、エラーが発生しやすいプロセスです。また、クラウドネイティブソリューションには、確立されたセキュリティベンダーの機能セットがないため、サイバー脅威の高度な検出と軽減は、これらのソリューションを単独で使用した場合に常に可能であるとは限りません。

理想的なソリューションは、最高のセキュリティベンダーを使用してマルチクラウド環境のセキュリティを管理する単一のポータルを持つことです。 「Infrastructure as Code」のサポートと相まって、これらのセキュリティサービスは、CI / CDパイプラインを使用して数分以内に展開および検証でき、すぐに結果を得ることができます。 Alkiraソリューションは、まさにこれとはるかに多くのものを提供します。

2.Alkiraはクラウド時代にセキュリティを提供します

Alkira Cloud Network as-a-Service(CNaaS)ソリューションは、グローバルに分散されたAlkira Cloud Exchange Points(仮想Point of Presence)を備えた統合クラウドバックボーンで構成され、クラウド、ブランチ、エンドユーザー間の最適化された安全なグローバルネットワーク接続を提供します。
Alkiraはサービスとして提供されます。よって、カスタマーゲートウェイやエージェントをインストールせず、水平方向に拡張された中央管理により、マルチクラウドファブリックを数分でシームレスかつ安全に確立できます。
Network Security Meets Cloud

3.堅牢なRBAC

Alkiraの独自のプラットフォームにより、ITリーダーは堅牢なRBACツールの柔軟なセットを完全に制御できます。オンボーディングは安全であり、IP固有の認証に加えて、SSOおよび2要素認証のオプションを使用して、不正アクセスを防止します。
そこから、完全な管理者制御から単純な読み取り専用アクセスに至るまで、いくつかの権限の役割を利用できます。
Alkiraは、カスタマイズされた役割の作成も可能にし、顧客が特定のニーズに合わせてアカウントを調整する機能を使用して、環境を完全に制御できるようにします。 Alkiraは、詳細なログとアクセスレポートでこれらすべてをサポートし、顧客が監査可能なデータに即座にアクセスして、不正行為や誤用を追跡できるようにします。

4.ネットワークサービスマーケットプレイス

多くの企業はすでにデューデリジェンスを実施しており、オンプレミスのセキュリティパートナーを選択しています。
理想的には、クラウドセキュリティのニーズにも同じベンダーを使用することを好みます。 Alkiraでは、これを認識しており、サードパーティのセキュリティプロバイダーから幅広い選択肢があります。
優先サービスは、追加のルーティング制御なしでクラウド環境にインテリジェントに挿入および統合されます。 Alkiraは、このセキュリティインスタンスのライフサイクル全体も管理し、既存のROIを保持するために、セキュリティインスタンスは、既存のライセンスを使用してスピンアップすることも、従量課金モデルを使用してスピンアップすることもできます。顧客のビジネス量が変化するにつれて、これらのインスタンスはリアルタイムの容量需要に基づいてスケールアップまたはスケールダウンします。インテリジェントなトラフィックステアリングにより、Alkiraはこれらのステートフルファイアウォールへの双方向のフロー対称性を維持します。これにより、ファイアウォールの弾力性によってネットワークでパケット損失が発生することはありません。

5.エンドツーエンドのネットワークセグメンテーション

ネットワークセグメンテーションは、ネットワークが複数の異なるサブネットワークに分割されるメカニズムであり、ルート制御とセキュリティポリシーをそれぞれこれらのコンパートメントに個別に適用できます。
セグメンテーションには、次の主な利点があります。

  • サイバー攻撃の爆発範囲を制限し、ハッキングと侵害は影響を受けるセグメントに限定されます。
  • 運用パフォーマンスを改善します。たとえば、テストセグメントの問題は、本番環境に影響を与えません。
  • コンプライアンスの負担を軽減します。支払い処理システムを1つのセグメントに限定することにより、複雑でコストのかかる監査プロセスをそのセグメントのみに制限します。
  • ネットワーク監視とネットワークアクセスに関するより良い分析をします。

既存のクラウドネイティブ構造は、セグメンテーションをほとんどまたはまったくサポートしていません。これらのすでに複雑な構造をオンプレミスおよびリモートのユーザーセグメントと組み合わせると、エンドツーエンドのセグメンテーションの混乱が発生します。
しかし、Alkiraソリューションを使用すると、複雑なルーティング構成なしで、ネットワークセグメントを一元的に定義し、多様なハイブリッドクラウドまたはマルチクラウド環境に合わせて切り分けることができます。各セグメントは一意のルーティングドメインであり、制御とサービスポリシーを個別に適用できるため、上記のセグメンテーションのメリットを最大限に活用できます。

6.直感的な可視性

あなたが見ることができないものを確保することはできません今や当然の結論です。クラウドのセキュリティ体制を真に理解するには、ネットワークを完全かつ直感的に把握する必要があります。 Alkiraポータルは、ハイブリッドクラウドおよびマルチクラウド環境の包括的なネットワークおよびアプリケーションレベルの統計を提供し、すべてのホットスポットとブラインドスポットを照らします。たとえば、データソースまたはアプリケーションが不明な場合は、適切なセキュリティおよびコンプライアンスポリシーを迅速に導入して、リスクと混乱を最小限に抑えることができます。

7.コンテキストが豊富なポリシー管理

前に見たように、Alkiraはセグメンテーションをハイブリッドクラウドおよびマルチクラウド環境にシームレスに拡張します。これらのセグメントは、ポリシードメインにさらにマイクロセグメント化できます。これは、リモートユーザー、オンプレミスサイト、またはクラウドワークロードのエンドポイント(コネクタ)をコンパートメント(グループ)にまとめることで実現されます。グループが作成されると、コンテキストが豊富なポリシーをそれらに適用して、ビジネスの意図を簡単に適用できます。
次にいくつかの例を示します。

  • VPCグループは、ファイアウォールを通過した後、ポート443を介してのみインターネットアプリケーションにアクセスできます。
  • WebグループG1はアプリケーショングループG2にアクセスできますが、データグループG3にはアクセスできません。

8.コードとしてのインフラストラクチャ

Infrastructure as Code(IaC)は、コードを使用したインフラストラクチャ(VM、ネットワーク、セキュリティコンポーネント)の管理と展開です。通常、HashiCorpのTerraformを使用して行われるインフラストラクチャ環境は、人間が読み取れる単純なファイル(jsonファイルまたはcfgファイル)を使用して定義されます。 Terraformは環境の神聖さを保証し、状態はドリフトなしで常に同じままです。セキュリティポリシーは現在不変であり、システムが不注意による脆弱性にさらされていないため、セキュリティの観点から、これは非常に重要です。 AlkiraはTerraformで検証されたプロバイダーであり、セキュリティ体制全体(セグメント、ポリシー、サービスなど)は、AlkiraのTerraformプラグインを使用して簡単に展開できます。

まとめ

シンプルさとセキュリティはこれまで共存していませんでしたが、AlkiraのCNaaSソリューションは今それを変えています。セグメンテーション、マイクロセグメンテーション、IaCを備えた最高のセキュリティをすべてサービスとして提供することで、マルチクラウドエクスペリエンスをAlkiraと連携させることができます。

元記事の著者:Bharath Chakravarthy
Bharathは、コンピュータネットワーク業界の経験豊富なキャンペーン担当者です。現在、彼はAlkiraのリードエンジニアであり、Alkiraテスト自動化フレームワークとインフラストラクチャの設計と開発を担当しています。 Alkiraの前は、Cloudgenix(SD-WAN App Fabric)、Nuage Networks(SDN)、Juniper&Cisco(データセンターおよびストレージ)でいくつかのリードエンジニアリング職を歴任しました。余暇には、読書、ベイエリアのトレイルの探索、テニスを楽しんでいます。彼は、インドのマドラス大学で学士号を、シカゴのイリノイ大学で修士号を取得しています。彼のツイッターハンドルは@bchakravです。

ブログ一覧へ
Alkiraのユースケースをみる
人気のブログ記事
ネットワーク
セキュリティ

▼シンプルでセキュアなマルチクラウドネットワークを実現する
次世代のネットワーキングサービスはこちら!