This post is also available in: English (英語)
2019年12月、パロアルトネットワークスはスタートアップ企業Aporeto社を買収しました。同社は、横方向の攻撃による脅威をIDに基づくマイクロセグメンテーションを使って軽減するという、革新的なアプローチを事業としています。買収以来、当社のチームはこの技術をPrisma Cloudに統合することに尽力してきました。最新リリースでは、この技術は「IDベースのマイクロセグメンテーション」という新しいモジュールで提供されます。
Prisma CloudへのAporeto社の機能の統合により、あらゆるパブリック クラウドのあらゆるアプリケーションに最高水準の包括的セキュリティを提供するクラウド ネイティブなセキュリティ プラットフォームが得られます。
マイクロセグメンテーションが重要である理由
企業におけるサイバーセキュリティ手法の着眼点は、「侵害が発生するかどうか」から、「侵害がいつ発生するか」に移行しています。侵害が発生した場合の最善策は、影響範囲を最小化して横方向への拡散を防ぎ、攻撃者による高価値資産へのアクセスを阻止することです。一方、クラウドの普及が加速し、動的なクラウド ネイティブ インフラストラクチャへの移行が進む中、こうした横方向の攻撃の封じ込めは今まで以上に困難になっています。
たとえば、次の2つの攻撃シナリオを考えてみましょう。
- お客様のクラウド環境で侵害されたWebアプリケーションがバーチャル プライベート クラウド(VPC)内にあり、このVPCがプライベート データ センターへの接続性も備えている場合、VPC内でネットワークに到達し、さらにプライベート データ センターに接続する能力が攻撃者にあれば、攻撃の影響範囲はかなり大きくなります。
- 侵害されたWebアプリケーションまたはコンテナがKubernetesクラスタ内にある場合、攻撃者によるノード内の横方向の移動や、ノード間(名前空間間)やKubernetesクラスタ間の移動を可能にする恐れがあります。
横方向の攻撃を防ぐ最善のアプローチは、ネットワークが常に侵害されていることを前提とするゼロトラストの方法論で、あらゆるクラウドにわたりアプリケーション インフラストラクチャを大規模にマイクロセグメンテーションすることです。このアプローチは業界全体の方向性とも一致しています。Aporeto社の機能の統合によって、基礎のネットワーク インフラストラクチャから切り離された新たなマイクロセグメンテーションのアプローチが提供できるようになりました。それが「IDベースのマイクロセグメンテーション」です。
なぜIDベースのマイクロセグメンテーションなのか
従来のネットワーク セグメンテーションの技術では、識別子にIPを使用してきました。
この方法は、ネットワーク チームが管理する静的なインフラストラクチャでは有効ですが、
パブリック クラウドへの依存度が高まり、弾力性と不変性を特徴とするクラウド ネイティブ インフラストラクチャへの移行が進んだことで、これまでのIPベースのポリシーやネットワーク セキュリティ オペレーション ワークフローがもはや通用しなくなっています。
仕組み
Prisma Cloudでは、次の4つの原則に基づいてIDベースのマイクロセグメンテーションを採用しています。
- 暗号化されたIDをすべてのワークロードに割り当て、セキュリティをネットワークから切り離す。IPアドレスとは異なり、このIDが境界となります。
- アプリケーションの通信をクラウドの内外で検出し、学習する。Prisma Cloudはこれらの情報を、IPとポートではなくワークロードIDのコンテキストとリアルタイムで関連付けます。
- ポリシーをエンドポイントに配布し、管理は一元化する。ポリシーは自動生成するか、ランタイムに影響を与えずに、より宣言的なアプローチでセグメンテーション ポリシーを定義してテストできます。
- それぞれの接続要求を、分散されたIDベースの適用手法を使って認証し承認します。これによりアプリケーションのセグメンテーションが行われます。
ユーザーのメリット
Prisma CloudのIDベースのマイクロセグメンテーションを使用することで、ネットワーク チームやクラウド セキュリティ チームは、動的なクラウド ネイティブ アプリケーションにおける次のようなニーズに対応できるようになります。
- 全体的なルール数を削減する:Prisma Cloudでは、許可リストのアプローチにIDを組み合わせて使用しており、IDを使用することでポリシー適用に必要なルールの数を削減できます。アプリケーションをスケール アップまたはスケール ダウンしても、その他のワークロードのポリシーを更新する必要はありません。
- マルチクラウドおよびハイブリッドクラウド環境専用のマイクロセグメンテーションを構築する:IPの到達可能性がアプリケーション アクセスを前提としなくなるため、異種混在環境で複数のIPドメインを通過するワークロード間のEast-Westトラフィック セグメンテーションが問題になることはありません。
- アプリケーション間の依存関係をエンドツーエンドで可視化する:共通のワークロードIDがインフラストラクチャから抽象化されるため、あらゆるクラウドのアプリケーションを可視化できるようになります。
IDベースのマイクロセグメンテーションのライブ プレビューにお申し込みください
今後数週間、Prisma Cloudエンタープライズ エディションでIDベースのマイクロセグメンテーションのライブ プレビューがご利用いただけます。このモジュールの詳細については、製品ページをご覧いただくか、最新のeブックをダウンロードしてご確認ください。
10月20日に開催予定のチャット イベントでは、Aporeto社の機能の統合や最新リリースのあらゆる強化機能についてご紹介する予定です。
このイベントでは、パロアルトネットワークスの製品責任者、その他業界のエキスパートが、クラウド ネイティブ セキュリティの最新動向や、パロアルトネットワークス製品全体のビジョンについても意見を交換します。こちらからお申込みください。