クラウド ワークロードの保護とは
クラウド ワークロードの保護とは、複数の異なるクラウド環境間を移動するワークロードの安全性を維持するためのプロセスです。セキュリティ リスクを発生させることなく、クラウドベースのアプリケーションを適切に動作させるには、ワークロード全体が正しく機能している必要があります。つまり、アプリケーション サービスのワークロードの保護とクラウド ワークロード セキュリティは、デスクトップ マシン上でのアプリケーション セキュリティと根本的に異なります。
サイバー犯罪者によるランサムウェア攻撃の回数が増えており、多くの企業がその標的となっています。クラウド コンピューティング インフラストラクチャの急速な普及に伴い、脆弱性も増えています。予防的なエンドポイント保護、つまりエンドポイント デバイスへのアクセスを制限することに頼ったセキュリティ戦略では、クラウドで起きていることを見逃してしまいます。プライベートクラウドやパブリッククラウドを利用している企業がサイバー攻撃を阻止するには、エンドポイントだけでなく、ワークロード レベルでも自組織を攻撃から保護する必要があります。
VMware のワークロード セキュリティの概要
最新のデータセンターにおける高度なワークロード保護
クラウド ワークロードの保護が重要な理由
ワークロードは、アプリケーション、およびアプリケーションとのやり取りをサポートするすべてのプロセスとリソースで構成されます。クラウドの場合、ワークロードには、アプリケーション、アプリケーションによって生成されるデータ、またはアプリケーションに入力されるデータ、ユーザーとアプリケーション間の接続をサポートするネットワーク リソースが含まれます。これらのワークロードのいずれか一部でも侵害されると、クラウドベースのアプリケーションは適切に機能しなくなります。
オンプレミスの物理マシンから、複数のパブリッククラウド IaaS 環境、コンテナベースのアプリケーション アーキテクチャまで、すべてを利用しているハイブリッド データセンター アーキテクチャでは、ワークロードのセキュリティが特に複雑になります。クラウド ワークロードのセキュリティがとりわけ複雑なのは、複数のベンダーやホスト間をワークロードが移動するため、これらの間でワークロードの保護責任を共有する必要があるからです。
CWPP によるクラウド ワークロードの保護
Gartner はクラウド ワークロード保護プラットフォーム(CWPP)を、「主に、パブリッククラウド IaaS 環境のサーバ ワークロードを保護するために用いられるテクノロジー ソリューション」と定義しています。CWPP により、さまざまなパブリッククラウド プロバイダーやお客様は、それぞれのドメインを通過するワークロードの安全性を確保することができます。
CWPP でワークロードを保護するには、主に 2 つの方法があります。マイクロセグメンテーションとベアメタル ハイパーバイザーです。
マイクロセグメンテーション:ワークロードを確実に保護する 1 つの方法は、マイクロセグメンテーションと呼ばれるネットワーク セキュリティ技術を実装することです。マイクロセグメンテーションを実装する場合、セキュリティ アーキテクトは、データセンターをワークロード単位で個別のセキュリティ セグメントに分割し、それらのセグメントごとにセキュリティ制御を定義します。物理的なファイアウォールの代わりにネットワーク仮想化テクノロジーを使用して、マイクロセグメンテーションを実装し、ワークロードを個々に分離して保護する柔軟なセキュリティ ポリシーを定義できます。エンドポイント保護は、脅威が環境内へ侵入できないようにすることを目的としているのに対し、マイクロセグメンテーションは、マルウェアが環境内のサーバ間を移動できないようにします。
ベアメタル ハイパーバイザー:ワークロードの保護を強化するには、ベアメタル ハイパーバイザーを使用する方法もあります。ハイパーバイザーは仮想化ソフトウェアの一種で、コンピューターのソフトウェアをそのハードウェアから切り離すことにより、仮想マシンの作成と管理をサポートします。ベアメタル ハイパーバイザーは、物理マシンのハードウェア上(ハードウェアとオペレーティング システムの間)に直接インストールされます。ハイパーバイザーで作成される仮想マシンは互いに分離しているため、いずれかの仮想マシンで問題が発生したり、攻撃を受けたりした場合、その影響範囲は発生元のサーバに限定され、ほかの仮想マシンのワークロードには影響しません。
一部の CWPP ソリューションは、クラウド ワークロードを保護するために特別に設計された、ハイパーバイザー対応のセキュリティ レイヤーをサポートしています。
ワークロード保護とアプリケーション セキュリティの違い
アプリケーション セキュリティは、アプリケーションをデスクトップ上にローカルに展開し、そのアプリケーションの各インスタンスに 1 人のユーザーがアクセスする場合に適用されます。デスクトップ上のアプリケーションの場合、そのアプリケーション コード内の脆弱性のみがセキュリティ ホールとなり、環境のその他の部分は無視することができます。これまで IT 組織は、デスクトップを保護し、脅威がデスクトップに到達するのを防ぐことで、アプリケーションのセキュリティを確保していました。
クラウドベースのアプリケーションでは、これとは異なる形態のアプリケーション セキュリティが必要になります。特に、組織がパブリッククラウドを利用しており、環境の一部をその組織で制御できない場合、ユーザーとアプリケーション間の抽象化によって脆弱性が生まれる可能性が増大します。ワークロードのすべての部分が正しく機能しなければ、クラウドベースのアプリケーションは正常に動作しません。そのため企業は、アプリケーションだけでなく、ワークロードの各部を保護し、監視する必要があります。
ワークロードの保護のメリット
クラウドベースのアプリケーションの課題は、ワークロードが複数の異なる環境間を移動する可能性があり、それらの環境はそれぞれ異なるベンダーによって所有され、それぞれ異なるテクノロジーで保護されていることです。CWPP では、これらの環境にまたがってワークロードを保護できます。CWPP を利用してワークロードの保護を実装することには、多くのメリットがあります。
ワークロードの振る舞いの監視:ワークロードの振る舞いの監視は、クラウド ワークロードの保護の重要な部分です。ワークロードを監視することで、CWPP は、ワークロード セキュリティの 2 つの重要な側面である検知と対応を実現します。つまり CWPP は、ワークロードの振る舞いを監視して、どこで侵入が発生しているかを検知し、アラートを発信します。
ワークロードの可視化と構成:ワークロードの保護では、個々のワークロードでなにが起きているかを可視化し、それらのワークロードを構成して脆弱性を管理できることが重要です。
ログの管理と監視の一元化:ワークロードの各部がそれぞれ異なるセキュリティ テクノロジーに関連付けられている場合、それらすべてを監視するのは時間がかかります。CWPP では、すべての環境にわたり、ワークロードの各部の状況を単一の管理画面で確認できます。
システムの強化と脆弱性の管理:CWPP は、セキュリティ リスクになり得る不要なアプリケーション、権限、プログラム、アカウント、機能、コードなどを特定することで、潜在的な攻撃経路を排除できるよう支援します。
メモリ保護:メモリ保護は、一部の CWPP にのみ備わっている新しいセキュリティ制御機能ですが、ハッカーがメモリの弱点を悪用する新しい技術を開発し、従来のセキュリティ手法を容易に回避できるようになったことから、その重要性が高まっています。
最新の脅威インテリジェンス:一部の CWPP は、顧客ベース全体で脅威インテリジェンスを共有し、新しい脅威に対する早期警告システムを提供しています。
セキュリティ環境は進化し続けています。コンピューティング インフラストラクチャの一部としてクラウドを利用している組織にとって、レガシーのセキュリティ システムではもはや不十分です。企業は、複数のクラウド環境にまたがるワークロード保護を計画する必要があります。クラウド ワークロード保護プラットフォームでは、複数の環境を可視化すると同時に、1 つのダッシュボードでセキュリティ アラートを統合して対応することができます。
