ブログ

最新の環境のための最新のセキュリティ

F5 サムネイル
F5
2021年11月29日公開


当時のエンタープライズ アーキテクチャは物理的かつ単一であり、1 か所に便利に配置されていたため、簡単に管理してセキュリティを確保できました。

今では状況は逆転しています。 デジタル化の急速な進展により、組織は前例のないスピードで動くことを余儀なくされています。 アジャイル手法と DevOps プラクティスを採用した組織は、環境、applicationスタック、デプロイメントを最新化し、以前はモノリシックだったapplicationsをマイクロサービス アーキテクチャに分解し、日常的なタスクを自動化し、コンテナ管理に Kubernetes (k8s) を採用し、アジャイル サービスの提供のためにパブリック クラウドに移行することができました。

これにより、組織とそのエンドユーザーの利便性は大幅に向上しましたが、重大なセキュリティ上の問題もいくつか発生しました。

この変化のペースの中で、セキュリティはほとんどの場合、遅れをとっています。 多くの場合、DevOps はセキュリティを考慮しないまま実装および配布されているため、IT 部門は問題が発生するたびに、また、いくつかの重要な公開例では、問題発生後にパッチを適用する必要があります。

では、ユーザーに負担をかけずに、セキュリティ侵害を防ぎながらセキュリティ技術者の負担を軽減するための最善の方法は何でしょうか?

集中型セキュリティからの脱却

多くの点で、仮想化環境に分散化する際におけるセキュリティのニーズは、組織にとって予想外のものでした。  従来の集中型セキュリティ制御から脱却するにつれ、現在利用可能な分散型制御では十分ではなくなりました。

集中化された環境はよく知られており、定量化されていたため、セキュリティ制御、操作、レポート、アラートの統一性を実現するのは比較的簡単でした。 多額の投資、知的財産の蓄積、変更コストの高さのため、採用されたテクノロジーの変更は頻繁に行われませんでした。

複数の新しい環境をサポートすると、成熟度と機能の欠如、異種のクラウド環境、さまざまなテクノロジーの混在、不明瞭な操作、可視性の低さ、レポート作成の難しさ、成熟度の低さなど、多くの課題と考慮事項が生じます。

これらの課題に対応するため、パブリック クラウド ベンダーは、テナントとの間のすべてのトラフィックが通過する中央制御ポイントであるトランジット ゲートウェイを提供しました。

クラウド、テナント、データ センターにapplicationsが分散されている現代の環境では、個々のアプリケーション内にセキュリティを設けることが非常に理にかなっています。これにより、セキュリティが本質的に確保され、忘れられたり、削除されたり、バイパスされたりすることがなくなります。 また、セキュリティは必要なときに必要な場所に確保され、applicationの廃止段階の一環として削除されることも意味します。

このモデルは、ライフサイクルのすべての段階とすべての環境にセキュリティを導入するという点で、セキュリティを「シフトレフト」する機会も提供します。 つまり、セキュリティ制御は、デプロイ時と実行時、または実稼働前と実稼働時に初めて遭遇するわけではありません。

組織にセキュリティを導入する

セキュリティ チームは、組織をセキュリティに引きずり込むのではなく、セキュリティを組織に持ち込むことで、「ノー」のオフィスから脱却したいと考えています。 私たちの意見では、これを実現する最善の方法は、DevOps チームがそれぞれのニーズに合った方法でセキュリティを活用できるようにすることです。 これは、アプリやプログラムの後からではなく、最初からセキュリティを実装して使用することを意味します。

セキュリティの「シフトレフト」と呼ばれるこれは、開発ライフサイクルの早い段階でセキュリティ制御を実装することを意味します。例: 脅威モデリング、静的applicationセキュリティ テスト、ソフトウェア構成分析、および後期段階のセキュリティ制御を初期段階の環境で利用できるようにするなど、次のような機能があります。 Webapplicationファイアウォール、動的applicationセキュリティ テストなどを開発およびテスト環境に導入します。

もちろん、分散セキュリティには多くの課題が伴う傾向があります。 分散セキュリティを実現するには、従来、環境ごとに異なるテクノロジー、スタック、コントロールが必要でした。 これでは、環境の多様性が増すにつれて規模の経済性が得られず、新しい異なる環境や制御セットをサポートすることが指数関数的に困難になります。

また、異なる環境間でセキュリティの一貫性がほとんど得られないことを意味し、問題が発生する可能性があります。 おそらく最も重要なのは、環境ごとにアラート、レポート、ログが異なるため、環境の管理や予測が非常に困難になることです。

ではどこへ?

理想的な世界では、複数のユーザー、アプリ、クラウドを含む分散環境全体でセキュリティはどのように機能するのでしょうか?

答えは、必要な場所にどこにでも展開できる統一されたスタックです。 このスタックは小型フォームファクターで、最新の環境に適しており、迅速な展開と廃止をサポートします。 また、成熟したエンタープライズ グレードの包括的なセキュリティ制御も含まれます。

中央制御ポイントが存在します。つまり、ポリシーを一度定義してグローバルに展開する単一のポイントです。 ポリシー定義は柔軟であり、ネットワーク、ID、セキュリティ、applicationによって定義されます。 中央制御ポイントでは、集中化された均一な可視性、ログ記録、レポートも提供されます。

また、ソリューション全体が 100% API 駆動型となり、開発、セキュリティ、運用の各チームがビジネスのペースに合わせて連携して作業できるようになります。

F5 はそのようなビジョンの実現をお手伝いします。 詳しくはこちらをご覧ください。