ブログ

国境を越えたビジネスのセキュリティ確保

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2016 年 9 月 6 日公開

F5 の社員が「アイデンティティは新しいファイアウォールだ」と言っているのを聞いたことがあるかもしれません。 それは、まあ、短い言葉のように聞こえるかもしれませんが、この単純な言葉には多くのことが込められています。 大量のセキュリティと、今日のデジタル混乱に対処する方法の変化。

アプリは境界線である

クラウドや脅威がapplicationスタックを着実に上方に移動するか、モノリシック アプリが API やマイクロサービスに分解されるかに関わらず、これらの混乱は外部に波及効果をもたらしているのが現実です。 この影響はデータセンターの構築基盤を揺るがし、データセンターのアーキテクチャに予想外の変化を引き起こしています。 こうした変化は現在、国境のないビジネスの出現によって大きく推進されています。 applicationsに依存するビジネス。その多くは向こう側 (SaaS) に展開されており、いくつかは向こう側 (IaaS) に展開されていますが、一部はまだこちら側 (データ センター) に展開されています。

これらの変更は、ビジネスへの戦略的な制御ポイントとしてのファイアウォールを中心とした従来のアーキテクチャでは、境界のないビジネスを効果的に保護できないことを認識した結果です。

保護される境界がデータセンターではなくなったため、そのようには機能しなくなりました。 境界は現在、そのapplication、そのapplication、そしてその他のapplication。 従来の IP ベースのファイアウォールは、applicationsの理解が限られているだけでなく、その固定された性質のために効果がありません。 従来の IP ベースのファイアウォールは、データ センターでは依然として必須ですが、保護対象のapplicationsのアドレス空間が急速に変化することが多いため、クラウドのような不安定なネットワーク環境ではほとんど効果がありません。 コンテナの導入により、アプリケーションの寿命が(多くの場合大幅に)短くなったため、applicationsへのネットワークベースのアクセス制御の不安定性の問題も増加しました。 寿命が数日や数週間 (または数か月) ではなく数分単位で測定されるため、従来の IP ベースのファイアウォールにかかる負担は非常に大きくなります。

一方、applicationsへの ID ベースのアクセス制御は、IP アドレスではなくユーザーとアプリケーションの一致に関係し、構成ではなくコンテキストに基づいてapplicationsへのアクセスを制御するより優れた方法を提供します。 つまり、IP アドレスを絞り込むのではなく、必要に応じて、IP アドレスに加えて、クライアント、場所、デバイス、時刻、ネットワーク速度、applicationに基づいてユーザーのアクセス要求を評価できます。 このアクセスにより、特定のapplicationに誰が(または何が)アクセスすべきか(またはアクセスすべきでないか)を判断するためのより適切な手段が提供されます。 また、applicationsの展開場所に関係なく、そのサービスを提供するのがはるかに簡単になります。 ID ベースのアクセス制御サービスは、クライアントとアプリケーションを理解し、それらの要求とapplicationを伝送するネットワークに関係なく、リアルタイムでポリシーを適用することに基づいて制御されるため、必要に応じてアプリケーションとともにapplicationセンターからクラウドに移動し、再びデータ センターに戻ることができます。

ID ベースのアクセス制御オプションは、異なる環境間での同等性の提供も意味します。 applicationsへのアクセスを制御するために従来の IP ベースのファイアウォールを利用する場合、データセンターで 1 つのシステムを使用し、クラウドで別のシステムを使用することになりますが、両方の環境に同じ ID ベースのアクセス制御サービスを導入できるため、一貫性のあるポリシーに基づいて企業ポリシーへの準拠が向上し、管理と監査の面で運用上のオーバーヘッドが軽減されます。 このパリティは、ハイブリッド (マルチクラウド) 環境で運用するユーザーにとって、今後も引き続き需要があると考えられます。 2016 年のapplication配信の現状では、回答者のほぼ半数 (48%) が、オンプレミスとのポリシーおよび監査の同等性をクラウド導入の重要なセキュリティ要因として挙げています。

PWC 高度認証

さらに、盗まれた認証情報や簡単に発見される認証情報によって引き起こされるセキュリティ侵害が増加していることは、基本的なパスワードベースの認証を超えて、アクセスを許可または拒否するよりインテリジェントな手段に移行する時期が来ていることを示しています。 PWCは最新の世界的セキュリティ調査で、回答者の91%が「高度な認証」を使用していると指摘した。 彼らは、トークンと二要素認証方式を挙げ、高度な認証は顧客の信頼だけでなく企業の信頼の面でも大きなメリットをもたらすと指摘しています。

コンテキストベースのアクセス制御は、リクエストを評価するための複数の「要素」を提供することで、同様の対策を提供します。 このようなソリューションによって 2 要素認証を実装できますが、組織は、さらにシームレスなapplicationエクスペリエンスを実現するために、自動的に提供されるコンテキストの手がかりに依存する認証手段を開発することもできます。  「モノ」がクライアントとして機能する時代では、ほとんどの「モノ」が独自の携帯電話を所有しておらず、所有者はモノが同期して「自宅に電話」するために必要な頻繁なトランザクションに関与することを好まない可能性があるため、より自動的な「多要素」ベースの認証ポリシーが必要であると主張する人もいるかもしれません。

認証とアクセス制御に関する組織の決定がどのようなものであっても、IP ベースのファイアウォールのみに依存することはない (依存するとしても) ということはほぼ間違いないでしょう。 IP ベースのファイアウォールは、明確に定義された企業境界が存在するという概念に依存しているためです。 そして、今日のクラウド化、モバイル化、そしてほぼ一時的なアプリケーション インフラストラクチャの世界では、その境界はもはや存在しません。