ブログ

セキュリティ モデルを根本から変える必要がある

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2015 年 9 月 21 日公開

それはアプリケーションの世界です。 それは陳腐で決まり文句のように聞こえ始めていますが、それでも真実です。 セキュリティに関しては、まずアプリケーションに重点を置き、ユーザーへと進んでいく必要があります。

しかし、今日ではセキュリティ アーキテクチャはそのような方法で構築されていません。

今日、私たちは境界の周囲に侵入不可能な(防火)壁を設置しようとすることでセキュリティ アーキテクチャを構築しています。 アプリケーションに向かって内側に進むにつれて、構築するセキュリティ溝は次第に細かくなり、最終的にアプリに到達すると、ほとんど何も残っていません。 アプリケーションに最も親和性の高いセキュリティは、保護する必要があるアプリから最も遠い場所に配置されます (その逆ではありません)。 そのため、より安価で管理しやすいソフトウェアと仮想化された「デバイス」をより簡単に配置できるアプリの近くで、より控えめにスケーリングするのではなく、ネットワークのエッジ(必要な帯域幅とポート密度をサポートするために高価なハードウェアベースのデバイスが必要)で大規模なスケーリングを試みることになるでしょう。

このアーキテクチャを根本から見直し、セキュリティをリファクタリングして、今日のアプリケーションとビジネス モデルに適合させる必要があります。 

セキュリティ インフラストラクチャの拡張性を高め、価値を引き出すためには、企業の境界で「アプリケーションを認識する」ことをやめる必要があります。  私たちは、アプリにあまり依存しないアプリケーションから離れ、すべてを左にシフトし、開発と運用、そして経済的にもアーキテクチャ的にも拡張可能なソフトウェア モデルに移行する必要があります。 従来のネットワークのエッジには汎用的な企業セキュリティ インフラストラクチャが必要であり、新しい境界であるアプリケーションには特定のアプリケーションごとのセキュリティ アーキテクチャが必要です。

アプリと侵害

クラウドがアプリケーションに与える影響を考慮すると、これは特に当てはまります。 データセンターではなく、アプリケーションです。 私たちが保護する必要があるのはネットワークではなくアプリケーションであり、セキュリティ戦略がネットワーク(およびネットワークにアクセスするユーザー)を完全に制御することに依存している場合は、それを実現することはできません。 アプリケーションがデータ センター内にあるかどうかに関係なく、アプリケーションを保護する方法を検討し、クラウドがデータ センターを混乱させる前に頼っていた基盤ではなく、その基盤に基づいてセキュリティ戦略を構築する必要があります。

モノのインターネットとマイクロサービス アーキテクチャの採用によって生成されるアプリケーションの津波が今後押し寄せることを考えてみます。 一般的に、すべての「新しい」テクノロジーによってアプリケーションが 10 倍に増加するとしたら、2 つの「新しい」テクノロジーが同時に導入されると、どれだけのアプリケーションが生成されるのでしょうか。 これらすべてのアプリケーションをサポートするには、ネットワーク エッジでいくつの新しいセキュリティ ポリシーが必要になるでしょうか?

うん。 たくさん。 現在のものより 1 桁か 2 桁大きいです。

これらを左にシフトし(展開パイプラインの観点からは、従来のネットワーク図では右にシフト)、よりソフトウェアで展開および定義された環境に移動したらどうなるでしょうか。 アプリケーションを開発し、それを熟知している人々を集めて、アプリケーションを保護するポリシーの開発に協力してもらい、それを展開プロセスに統合したらどうなるでしょうか? CI/CD パイプラインに参入しますか? パブリック クラウドでもオンプレミスでも、必要な同じセキュリティ サービスを使用して、アプリを同じようにパッケージ化したらどうなるでしょうか? 組織の 60% がクラウド環境を保護するための最も重要な要素であると考えている IT インフラストラクチャ全体で一貫したセキュリティをどうやって実現できたのでしょうか [ Cloud Security Spotlight ]?

それはスケールしますか?  

現在のモデルよりも混乱が少なく、管理性も高まるので、そうなると思います。

クラウドは破壊的です。 モビリティは混乱を招きます。 モノのインターネットは破壊的変化をもたらすでしょう。 それは必ずしも悪いことではありません。特に、アプリケーションの展開、配信、保護の方法を再考し、再評価する機会が得られる場合はなおさらです。

したがって、セキュリティ モデルを根本から見直し、セキュリティを拡張し、アプリを保護し、データの神聖性を守るためのより優れた方法として、アプリを新しい境界として採用する時期が来ているのかもしれません。