クラウドベースのインフラストラクチャを導入するには、クラウド ネットワーク セキュリティを使用してデータ、アプリケーション、システムを保護する必要があります。では、クラウド ネットワーク セキュリティとは、正確には何でしょうか。クラウド ネットワーク セキュリティが必要な理由と、従来のネットワーク セキュリティとの違い
読み進めて、クラウド ネットワークを保護するためのすべての回答とベスト プラクティスをご確認ください。また、Google Cloud のネイティブ ネットワーク セキュリティ機能の詳細と、データ、サービス、インフラストラクチャの保護方法についても確認できます。
クラウド ネットワーク セキュリティとは、パブリック、プライベート、ハイブリッドの各クラウド ネットワークを保護するために使用されるセキュリティ対策(テクノロジー、ポリシー、コントロール、プロセス)のことです。
クラウド セキュリティと同様に、クラウド ネットワーク セキュリティも、データの保護に使用される技術、ポリシー、管理、プロセスを指し、クラウド ネットワークを不正なアクセス、改変、不正使用、または情報漏洩から保護することにのみ注力するものです。
クラウド ネットワーク セキュリティは、クラウド セキュリティの基礎となるレイヤの一つです。これにより、企業はセキュリティ モニタリング、脅威防止機能、ネットワーク セキュリティ制御機能を組み込み、ネットワーク境界が消失するリスクを管理できます。
クラウドで業務を行っている場合は、従来のオンプレミス境界を超えていることになります。完全にクラウドに移行した場合でも、ハイブリッド クラウド アプローチを利用する場合でも、クラウド サービス プロバイダの信頼性と独自システムの信頼性が非常に重要になります。
既存のネットワークをクラウド環境に拡張すると、セキュリティに多くの影響が生じます。従来、オンプレミス アプローチでは、インターネットと組織の内部ネットワークとの間に明確な境界があり、物理ファイアウォール、ルーター、侵入検知などのさまざまな多層防御が採用されていました。ただし、より多くのワークロードとユーザーがオンプレミスの境界を超えるにつれ、以前の境界保護対策を使用して侵入を検知して対処し、安全なネットワークを実現するのが難しくなります。
最新の IT 環境に対応するため、組織には、クラウドに直接組み込まれたネットワーク セキュリティを簡単にデプロイ、管理、スケールするためのより簡単な方法が必要です。クラウド ネットワーク セキュリティにより、リスクを最小限に抑え、コンプライアンス要件を満たし、安全で効率的な運用を保証できます。
セキュリティの可視性向上
クラウドベースのネットワーク セキュリティにより、多くの場合、1 つの画面で一元的にセキュリティをモニタリング、管理できます。また、既存のオンプレミス ソリューションと統合して、クラウド環境全体のセキュリティの複雑さを軽減することもできます。
ポリシーベースのセキュリティ
セキュリティと組織のポリシーをマルチクラウド環境とハイブリッド環境で構成、デプロイ、適用することは、困難な場合があります。クラウド ネットワーク セキュリティを採用すると、詳細なポリシーを簡単に管理して更新できます。
高度な脅威対策
クラウド サービス プロバイダは、最新技術、高度なスキルを持つ専門家、経験豊富なリーダーとのパートナーシップに投資し、侵入、DDoS などのウェブベースの脅威をリアルタイムに検出して確実に防止します。
モニタリングと構成の自動化
スケーラビリティに優れたネットワークには、セキュリティ チームに負担をかけずに拡張できるセキュリティ ツールとプロセスが必要です。クラウド ネットワーク セキュリティ ソリューションでは、構成と管理を自動化して、構成ミスを排除し、トラフィックに対する制御を維持できます。
デフォルトで暗号化
暗号化によって侵害やセキュリティ インシデントを止めることはできませんが、何かが起こった場合でも損害を限定できます。ほとんどのクラウド プロバイダは、保存データと転送中のデータを保護するための暗号化サービスを提供しています。これにより、潜在的な攻撃対象を縮小し、データが傍受された場合の不正アクセスを防止できます。
一元化された一貫したセキュリティ
クラウド ネットワーク セキュリティは、保護を一元化して、潜在的な脅威とパフォーマンスに関するネットワーク アクティビティでモニタリングし、1 か所から ID とアクセスを管理するのに役立つ組み込みのセキュリティ機能とツールを提供します。
クラウド コンピューティングがデジタル トランスフォーメーションの加速に非常に役立っているの理由の多くと同じ理由から、ネットワークとクラウドのセキュリティ確保は困難な場合があります。
クラウド インフラストラクチャは、開発チームやセキュリティ チームの負担を増やすことなく、自動的にスケールアップまたはスケールダウンできます。また、コンテナ、サーバーレス コンピューティング、自動スケーリングなどのテクノロジーから、クラウド環境が静的であることはほとんどなく、一時的なニーズに応じて常に変化していることもわかります。これは、オンプレミス ネットワークとクラウド ネットワークの両方で構成されるハイブリッド環境の人気が高まる中で、さらに困難になります。
こうすると、ネットワークの全体的なセキュリティを正確に把握することが難しくなり、特にセキュリティ チームがさまざまなシステムとセキュリティ ツールを切り替える場合、悪意ある攻撃者がネットワーク間を移動するたびに、そのような攻撃者の追跡が困難になる場合もあります。
また、クラウド コンピューティングにおけるネットワーク セキュリティの責任は、お客様とクラウド プロバイダの間で分担されます。分担責任モデルは、プロバイダによって異なります。ネットワーク オーナーは、通常、クラウドにあるもの(ネットワーク制御、Identity and Access Management、データ、アプリケーション)の保護に責任を負います。誤解があると、担当範囲に重大なギャップが生じる可能性があるため、これらの責任を明確に定義することが重要です。
ネットワークを保護するために使用できる戦略とツールは数多くあります。ただし、以下のクラウド ネットワーク セキュリティのベスト プラクティスに従うことで、アプローチを簡素化できます。
ゼロトラスト セキュリティ モデルは、ネットワーク内外にかかわらず、デフォルトでは誰も、何も信頼しないことを意味します。ゼロトラスト モデルでは、アクセス制御をネットワーク境界から個々のユーザーやデバイスに移行できます。
一般に、必要な場合を除き、インターネットからクラウド リソースへのアクセスを制限することが常に推奨されています。ただし、やむを得ない場合は、クラウドのネットワーク レベルのセキュリティでアクセスを制限できます。これには、DDoS 対策によるエッジ ネットワーク セキュリティ、ウェブ アプリケーション ファイアウォール(WAF)ポリシーの適用、ID 認識型アクセス制御、リアルタイムのモニタリング、ロギング、アラート発信を使用したインテリジェントな脅威検出が含まれます。
ワークロードは、オンプレミス、クラウド、または複数のクラウド環境に配置できます。そのため、環境への接続を保護し、デプロイをなるべく非公開にしたまま、脅威への露出を減らすことが非常に重要です。クラウドベースまたはオンプレミスのクライアントが外部 IP アドレスなしでサポート対象の API およびサービスと通信し、これらを使用できるようにするプライベート アクセス オプションを使用すると、重要なワークフローへの影響を回避できます。
ネットワーク内でも、アプリケーションとサービス間の通信を規制および管理することが重要です。マイクロセグメンテーションにより、きめ細かいセキュリティ ポリシーでラテラル ムーブメントを封じ込め、攻撃者がネットワークに侵入した場合にトラフィックを正確に制御しやすくなります。また、マイクロセグメンテーション ポリシーを使用して重要なシステムを分離し、規制遵守を強化することもできます。
クラウド コンピューティングで強力なネットワーク セキュリティを実現するには、脆弱性を認識する必要があります。自社の責任範囲と、クラウド プロバイダのサービスに組み込まれた制御を正確に把握することが重要です。たとえば、運命共同体モデルで運営されるクラウド プロバイダを探すことをおすすめします。このモデルでは、プロバイダがより包括的なガイダンス、リソース、ツールを提供し、ユーザーがリスク管理とセキュリティにより適切に対処できるようサポートします。