クラウドにおけるゼロトラストZero trust in the cloud

ゼロトラストとは、クラウドセキュリティアプローチの一つで、ユーザーやデバイスが何かにアクセスしようとする度に、そのユーザーやデバイスを確認することである。

ゼロトラストは、要求が定義されたセキュリティポリシーに適合しないか、システ ムがその要求を検証または認証できない場合、その要求を拒否する。

クラウドのゼロトラストでは、すべてのアクセス判断は、ユーザーのアイデンティティ、デバイスの姿勢、リソースの感度、行動を組み合わせた継続的な検証に依存する。 それは、クラウド・ネイティブな世界のボーダーレスでダイナミックな現実における基本である。

ワークロードは、リージョン、クラウドアカウント、プラットフォームをまたいで話をする。 開発者は従来のコントローラーの外でサービスをスピンアップする。 アイデンティティは、その範囲をはるかに超えた権限を持つ。

強力なセグメンテーションとリアルタイムの検証がなければ、攻撃者は自由に動き回る。 ゼロトラスト戦略は、伸縮性のあるマルチクラウドインフラにおいても、コントロールを取り戻すのに役立ちます。

レガシー・セキュリティ・モデルは、一度入れば信用されることを前提としている。

しかし、クラウドには境界がない。 分散型サービス、一時的なワークロード、大規模に運用されるアイデンティティを扱うことになる。

例えば、過剰に許可された1つのサービスアカウントが、機密ストレージ、管理者API、およびクロスクラウドリソースに触れる可能性があり、システムはそのようなフラグを立てないかもしれない。

ゼロトラストはその理屈をひっくり返す。 暗黙の信頼を取り除き、すべての行動をリアルタイムで評価する。 つまり、アイデンティティの主張の検証、デバイスの姿勢のチェック、権限の範囲の分析、行動ベースラインのモニタリングなどである。 適切な条件下で適切なアクセスを動的に許可する。

アイデンティティはクラウドにおけるゼロトラストの基盤である。

アクセスを許可する前に、すべてのサービス、ユーザー、マシン・アカウントを検証する必要があります。 しかし、これはAWS IAM、Azure Active Directory、GCPサービスアカウント、サードパーティツールにまたがって厄介なことになる。

クラウドインフラ権限管理（CIEM）が重要な役割を果たす。 すべてのアイデンティティをその権限にマッピングし、未使用または過剰な権限にフラグを立て、暗号化およびストレージ権限を持つアイドルロールのような有害な組み合わせを識別します。

正確な権限データがあれば、最小権限を強制し、実際の利用状況を反映した動的なアクセスルールを構築することができます。

セグメンテーションはラテラルムーブメントを制限する。 ゼロトラスト・クラウド・モデルでは、これはどのリソースがどのような条件で通信できるかを制限することを意味する。

Kubernetesネットワークポリシー、仮想プライベートクラウド（VPC）、アイデンティティ対応プロキシなどのツールはすべて、境界を定義するのに役立つ。

しかし、セグメンテーションは静的なファイヤーウォールだけの問題ではない。 ワークロードがどのようなデータを扱うのか、誰が、何にアクセスするのか、行動が予想されるパターンと一致しているのか、といったコンテキストが必要だ。

動的なセグメンテーションにより、リスクの高いリソースを隔離し、高リスクのイベント時のアクセスを制限し、侵害の影響範囲を縮小することができます。

ゼロトラストは静的なものではない。 アクセス判断は、地理的な位置、時間帯、ワークロードの行動、現在のリスク状況など、変化する状況に適応する必要があります。

そこで、ジャストインタイム（JIT）アクセスが輝く。

常時アクセス許可を与える代わりに、ユーザーとサービスは、定義された範囲と期間を持つ一時的なアクセスを要求する。 また、行動分析とクラウド検出と対応（CDR）を使用して、自動的に異常のフラグを立てたり、アクセスを取り消したり、レビューをエスカレーションしたりすることもできます。

強力なクラウドセキュリティソリューションは、アイデンティティ管理、ワークロードコンテキスト、ポリシー実施を1つのプラットフォームに統合することで、ゼロトラストをサポートします。

それらには以下が含まれていますか?

• CIEMによる継続的権限分析
• ワークロードとデータアクセスのランタイムモニタリング
• インフラのコード化とCI/CDによるガードレール施行のためのポリシーのコード化
• アイデンティティ、サービス、データがどのようにつながっているかをマッピングするためのサイバーエクスポージャーグラフィ
• アイデンティティとコンフィギュレーションのドリフトに対する自動修正

これらのツールは連携して、アクセスを検証し、危険なパスをブロックし、コンプライアンスを維持する。

NIST 800-207、FedRAMP、ISO/IEC 27001などのフレームワークはゼロトラスト原則を推奨しているが、クラウド環境でそれを実施するのは複雑だ。

ダイナミックなアイデンティティ中心のモデルは、チームのペースを落とすような厳格なコントローラーを構築することなく、こうした要件を満たすのに役立つ。 監査ログが改善され、アクセス・コントローラーが強化され、レビュー中に驚くことが少なくなります。

同時に、開発者と運用チームは、セキュリティポリシーが固定的な役割やIP範囲ではなく、行動に基づいて調整されることを理解しながら、迅速に行動する自由を得る。

クラウドコンピューティングにおけるゼロトラストとは？

クラウド・コンピューティングにおけるゼロトラストとは、クラウド環境にあるものを自動的に信用しないということだ。 何があっても、毎回すべてを検証する。 従来の境界ベースのセキュリティとは異なり、たとえそれがすでにネットワーク内にあるとしても、ユーザー、デバイス、アプリケーションが本質的に信頼できるものではないことを前提としている。 クラウドリソースやデータへのすべてのアクセス要求を厳密に検証し、認証し、リアルタイムのコンテキストに基づいて承認してからアクセスを許可する。

なぜゼロトラストが最新のクラウドセキュリティに不可欠なのか？

分散型クラウド環境には従来のネットワーク境界が存在しないため、ゼロトラストは最新のクラウドセキュリティにとって不可欠である。 クラウドネイティブなアーキテクチャ、マルチクラウドのデプロイメント、ダイナミックなワークロードは、もはや資産やデータを束縛するものではない。 このフレームワークは、場所に関係なく、すべてのユーザーとワークロードに対して厳格なアクセス制御と継続的なアイデンティティ検証を実施することで、機密データを保護し、ラテラルムーブメントを防止するのに役立ちます。

ゼロトラストはクラウドのデータ保護をどのように強化するのか？

ゼロトラストは、承認されたユーザーとデバイスのアクセスを制御することで、クラウドのデータ保護を大幅にサポートする。 つまり、個人やシステムは、特定のタスクに必要な権限だけを、限られた時間だけ得ることができるのです。 アイデンティティ、デバイスの姿勢、データの機密性を継続的に検証することで、アタックサーフェスを劇的に減らし、クラウド環境における不正なデータアクセスや流出の可能性を低減します。

マルチクラウドやハイブリッドクラウド環境にゼロトラストを適用できますか？

はい。ゼロトラストは、マルチクラウドやハイブリッドクラウド環境に最適である。 アイデンティティ中心」と「リソース中心」のアプローチは、多様なクラウドプロバイダーやオンプレミスインフラに一貫したセキュリティポリシーを適用するのに役立ちます。 アクセス制御と継続的な検証を一元化することで、ゼロトラストは、複雑なハイブリッドクラウドコンピューティングのランドスケープにおいて、しばしば異なるツールやサイロ化された可視性から生じるセキュリティギャップを排除するのに役立ちます。

Check out our zero trust resources to learn more about verifying trust at every interaction stage across your network and systems.