私は最近、パロアルトネットワークスのワールドワイド パブリック クラウド セキュリティSE担当シニア ディレクターを務めるAllan Kristensenと話す機会がありました。彼は、15年以上にわたり、極めて有能なソリューション エンジニアリング(SE)チームを育ててきた経験を持っています。
Allanと私との会話に基づき、貴社がマルチクラウド環境(AWS、Azure、Google Cloud Platformに対応)に合わせ、適切なクラウド セキュリティ ソリューションを評価して選択するために役立つ7つの基本的な指針をまとめました。
原則1: マルチクラウド対応 – 最低限でもAWS、Azure、GCPに対応
私たちの経験によると、お客様の4分の3以上は、マルチクラウド戦略を持っています(当初は持っていなくても、いずれは導入する方向性)。これを踏まえた上で、さまざまなクラウドに対応し、真に統合されたマルチクラウド サポートを提供できるソリューションを選択することが重要です。一元管理アプローチにより、各クラウド環境の可視性を現在から将来にわたってシームレスに統合します。
原則2: 100% SaaSベースでAPI駆動型 – エージェントやプロキシは無し
動的で分散した性質を持つクラウド環境を効果的に管理できる唯一の方法は、100% APIベースのSaaSソリューションです。私たちの経験によると、エージェントまたはプロキシベースのポイント製品を利用しようとするお客様は、製品間の大きな摩擦に直面し、結果的にセキュリティの盲点を生むことになります。
原則3: 継続的なリソースの検出
見えないものを守ることはできません。仮想マシン、データベース インスタンス、ストレージ バケット、ユーザー、アクセス キー、セキュリティ グループ、ネットワーク、ゲートウェイ、スナップショットなどの貴社のクラウド リソースを継続的に監視し、動的に検出するソリューションを選択することが重要です。
原則4: リソース監視の自動化
ソリューションの能力として同じくらい重要なのが、堅牢なセキュリティ ポリシーを自動的に適用し、設定ミスを迅速に修復することにより、貴社が定義したセキュリティ ポリシーを確実に遵守できるようにすることです。これらの機能は、クラウド環境内の以下を含むすべての主要なリスク ベクトルをカバーしなければいけません。
- 設定チェック
- ネットワーク アクティビティ
設定チェックは、あらゆるポート上であらゆるIPアドレスからの受信トラフィックを許可するように緩く設定されているセキュリティ グループを検出し、アラートを発するために役立ちます。
原則5: 多くのデータの関連付け
貴社のセキュリティ体制に関して深い理解を構築するためには、複数の異なるデータ セットを継続的にコンテキスト化することが不可欠です。貴社のセキュリティ プロファイルとリスクについて完全に理解せずに、課題を迅速に修復することはできません。
原則6: 修復は良いことだが、自動修復はもっと良い
リスクを低減するために、複数の修復オプション(ガイド付きと自動化の両方)を持っていることが重要です。例えば、公開されているネットワーク セキュリティ グループとセンシティブなワークロードが関連付けられていることをシステムが特定した場合には、アクセスを自動的に制限できる能力が極めて重要です。貴社の固有のニーズに合わせ、カスタム修復ルールを記述できる能力も、重要な鍵となります。
原則7: 統合
最後に、SIEM、SOAR、チケッティング システム、コラボレーション ツールなどの既存のツールやワークフローにクラウド アラートを送信できるオープン プラットフォームを利用することが重要です。