ハイブリッド・クラウド・セグメンテーションとは

ハイブリッド・クラウド・セグメンテーションは、マイクロセグメンテーション手法を活用して、パブリッククラウド環境、プライベートクラウド、オンプレミスのデータセンターにわたるデータとワークロードを保護します。ハイブリッド・クラウド・インフラを個別のセグメントやセキュリティゾーンに分割することで、IT チームは、ワークロード、アプリ、機微な情報を分離し、特定のセキュリティポリシーで各セグメントを保護できるようになります。

クラウドコンピューティングは、IT チームに新たなセキュリティ上の課題をもたらします。データ、アプリケーション、およびインフラがオンプレミスではなくパブリック・クラウド・サービス・プロバイダーに配置されている場合、その資産をサイバー攻撃やデータ漏えいから適切に保護するために必要な可視性と制御を IT チームが獲得できていない可能性があります。同時に、ハイブリッドクラウド環境やマルチクラウド環境の複雑さにより、従来のセキュリティテクノロジーの多くは事実上時代遅れになっています。さらに、複数のクラウドプロバイダーと連携する場合、セキュリティチームはさまざまなセキュリティ基準や機能に対処する必要があります。シグネチャーブロッキングやアプリケーション許可リストなどの従来のソリューションは、高度な攻撃者によって簡単に打ち破られる可能性があります。ネットワーク境界がほぼ消滅している今、攻撃をエントリーポイントでブロックすることに重点を置いたソリューションは現実的ではありません。

ハイブリッド・クラウド・セグメンテーションは、サイバーセキュリティの重点を侵入防御からワークロードとリソースの保護にシフトすることで、これらの課題に対処します。認証と検証が行われるまで組織内外のすべてのユーザー、デバイス、アプリケーションが疑わしいと見なされるゼロトラスト・セキュリティ・モデルをサポートするハイブリッド・クラウド・セグメンテーションは、アクセスポリシーと通信ポリシーを厳格に適用し、ハイブリッド・クラウド・アーキテクチャ全体のアクティビティの詳細な可視性を IT チームにもたらすことで、個々のワークロードとリソースを保護します。

IT チームは、次のようないくつかのステップでハイブリッドクラウド環境をセグメント化できます。

• アプリケーションとワークフロープロセスの探索：ハイブリッドクラウドのワークロード、リソース、アプリをセグメント化する前に、IT チームは自動ツールを使用して、ハイブリッドクラウド環境内のすべての通信コンポーネントを明らかにし、各コンポーネントに関連する通常の水平方向（East／West）および垂直方向（North／South）のトラフィックフローに関するデータを収集します。これにより、チームは各リソースへの通信やアプリケーション間の依存関係に関するコンテキストを把握できます。
• 環境のセグメント化：チームはマイクロセグメンテーション手法を使用して、ハイブリッド・クラウド・インフラ内の資産間に論理的な境界を構築できます。セグメントは、個々のアプリケーションやワークロード、マネージド・クラウド・リソース、アプリケーション群、または環境全体のより大きなセクションである場合があります。
• セキュリティポリシーの確立：チームは、各セグメントにアクセスできる人や物を決定するきめ細かいポリシーを作成します。主要なセグメンテーションソリューションには、複数のアプリケーション属性でフィルタリングするためのオプションがあり、ポリシーを共有できる資産を容易にグループ化できるようになっています。ポリシーは、大きなセグメントに適用されるベストプラクティスへの準拠のためのハイレベルなルールである場合や、個々のマイクロセグメントに適用される極めてきめ細かいルールである場合があります。
• セキュリティ制御の実装：ファイアウォール、アクセス制御メカニズム、マイクロセグメンテーションソリューションが、セグメント間のフローを調整し、セキュリティポリシーを適用します。自動化機能とオーケストレーション機能が、複雑なハイブリッドクラウド環境全体でのセグメンテーションポリシーの管理と適用を支援します。
• 侵害の検知：統合された侵害検知機能とインシデント対応機能が、疑わしいアクティビティやセグメントへの不正アクセスの試みについてセキュリティチームにアラートを発し、サイバーセキュリティ上の脅威を早期に特定できるようにします。
• セグメンテーション戦略の監視とレビュー：セグメント化された環境を継続的に監視および監査することで、IT チームが戦略とルールを見直して更新し、ビジネス要件や新たな脅威に合わせてセキュリティポリシーを適切に調整することが可能になります。

IT チームとセキュリティチームは、クラウド・コンピューティング・セキュリティを確保するために、特有の課題を克服する必要があります。

• 不十分な可視性：クラウドプラットフォーム、特にパブリック・クラウド・サービスでは、IT チームがデジタルエコシステム全体を 100% 可視化することは困難です。クラウドサービスの可視性は通常、異なるワークロード間のフローの生のログに基づいています。クラウドネットワーク内のさまざまなワークロードとアプリケーションの関係を可視化できなければ、効果的なセキュリティポリシーを作成できません。
• 統一されたポリシーの欠如：クラウドネイティブのセキュリティツールしかない場合、ハイブリッドクラウド環境全体で一貫したセキュリティポリシーを作成することは極めて困難です。各クラウドインスタンスには独自のオブジェクト、ルール、ポリシーがあるため、ポリシーが断片化されたハイブリッド環境につながります。
• 統一されたガバナンスの欠如：クラウドリソースでは必ずしもセキュリティが優先事項とされないため、セキュリティチームは、セキュリティへの影響を考慮せずにワークロードをスピンアップ（起動および初期化）するアプリ所有者と衝突する可能性があります。

ハイブリッド・クラウド・セグメンテーションを効果的に使用することで、組織とその IT チームは次のことを行えます。

• セキュリティポスチャの強化：ハイブリッド・クラウド・セグメンテーションは、アタックサーフェスを減らし、データ保護を強化し、不正アクセスを防止し、ラテラルムーブメント（横方向の移動）の脅威をブロックします。クラウド戦略にセグメンテーションを組み込むことで、最終的に組織のセキュリティポスチャが強化されます。
• コンプライアンスの確保：セグメンテーションにより、機微な情報を保護し、アクセスを厳密に制御することで、データ処理行為がさまざまなデータプライバシー規制や業界標準の要件を満たすようになります。
• パフォーマンスの最適化：セグメンテーションは、IT チームがワークロードとネットワークトラフィックのバランスを取るために役立ち、その結果としてパフォーマンスが向上します。
• インシデント対応の高速化：マルウェア感染やセキュリティ侵害によって防御を突破された場合でも、セグメンテーションが行われていれば、セキュリティチームは特定のゾーンへの攻撃を封じ込めることができ、迅速なインシデント対応と復旧が実現します。
• 迅速なスケーリング：クラウドリソースを管理可能な単位にセグメント化すると、新しいビジネス要件に合わせてスケーリングすることがはるかに容易になります。