マイクロセグメンテーション・ソリューション
仮想化ファイアウォールやホストベースのファイアウォールに基づく既存のソリューションとは異なり、FireEye Cloudvisoryは、クラウド・プロバイダーの既存のクラウドネイティブなセキュリティ・コントロールを活用して、ワークロードのマイクロセグメンテーションを実行します。Cloudvisoryは、インフラとデータフローの検知にクラウドネイティブなAPIを使用することで、導入をスピーディに行い、設定ミスをなくし、最小権限ポリシーの大規模な管理に伴う負担を最小限に抑えます。
マイクロセグメンテーションの利点
直感的でスケーラブルなマイクロセグメンテーション・ソリューションを提供するCloudvisoryは、あらゆるクラウド・ワークロードのマイクロセグメンテーションを、組織の規模を問わず、デフォルトで実現します。
クラウドネイティブなセキュリティ・コントロールを活用
ホワイトリストで許可されたトラフィック
攻撃経路を最小限に抑える
(インサイダー)脅威の拡散を防ぐ
適切なポリシーの自動学習
あるべき状態と異なる設定(設定ドリフト)を防止
異常な動作や不正行為を検知
不適切な変更や不正な変更への対応
ユーザーとアプリケーションに「ゼロ・トラスト」モデルを導入
“マイクロセグメンテーションがデフォルト。ベスト・プラクティスとして、すべてのセキュリティ・ポリシーがタグとメンバーシップに基づいて適用されるべきなのです”
- Gartner
マイクロセグメンテーション・ソリューション
コンテキストに基づくマイクロセグメンテーション
Cloudvisoryは、ポリシーの意図とワークロードのコンテキスト(タグ、リージョン、プロバイダー、プロバイダーのアカウント、グループ・メンバーシップなど)とを比較し、環境の変化に応じてポリシーの更新と動的に連携しながら、マイクロセグメンテーション・ルールを適用します。
黄金比のマイクロセグメンテーション
CloudvisoryはIPアドレスに対する静的ポリシーに基づいてマイクロセグメンテーション・ルールを適用し、実際のネットワーク・フローと現在のネットワーク・ポリシー間の機械学習による相関分析を活用することにより、ポリシーの更新についての推奨事項を提供します。
単一のアプローチを選ぶか、またはソリューションを任意に組み合わせることにより
各業務部門や組織のニーズに合わせて
マイクロセグメンテーション・ポリシーの実装をカスタマイズします。
コンテキストに基づくマイクロセグメンテーション
Cloudvisoryはマイクロセグメンテーションに対してコンテキストに基づくアプローチを実現し、パブリック・クラウド環境およびプライベート・クラウド環境でのサイバー攻撃を阻止します。Cloudvisoryは複数のクラウド・プロバイダーにわたる既存のワークロードとデータフローを自動的に検出し、ワークロード・コンテキストに基づいてセグメンテーション・ポリシーを生成します。きめ細かいホワイトリスト(すなわちマイクロセグメンテーション)ポリシーは、ワークロードやアプリケーションに必要なネットワーク接続だけを許可し、その他はブロックします。環境が変化すると(ワークロードの追加や削除など)、Cloudvisoryはワークロード・コンテキストに基づいて、即座に必要なマイクロセグメンテーションのポリシーを計算し提供します。これによって、複雑なハイブリッドクラウド環境やマルチクラウド環境をカバーする、一貫性の高い安定したセキュリティ・ポリシーが得られます。
コンテキストに基づくマイクロセグメンテーションでは、大規模にマイクロセグメンテーション・ルールを管理する複雑さが解消されるため、業務チーム、DevOpsチーム、セキュリティ・チームが敏捷に業務を行えるようになります。コンテキストが限られていた従来のソリューションとは異なり、Cloudvisory独自のアーキテクチャでは、コンテキストに基づくマイクロセグメンテーションのためのクラウド・アセットの論理グループ分けに制限はありません。
黄金比のマイクロセグメンテーション
マイクロセグメンテーションは単独では達成できません。成熟したクラウド・セキュリティ対策を行っている組織は、既存の業務プロセスとテクノロジーに整合した「黄金比」のネットワーク・ポリシーをすでに導入しているかもしれません。そのような場合、コンテキストに基づくマイクロセグメンテーションのアプローチは適切ではないかもしれません。ただし、「黄金比」は理想からは程遠いことが多く、しかも時間が経てば必ず調整が必要になります。
Cloudvisoryでは、既存のプロセスおよびテクノロジーを活かしながら、環境の変化に合わせて既存のセキュリティ・コントロールを改善するための道筋を提供する必要があると認識しています。そのため、Cloudvisoryは、「黄金比」に基づいてマイクロセグメンテーションを実現します。その手順は以下のとおりです。
- 既存のネットワーク・セキュリティ・ポリシー(すなわちセキュリティ・グループ)の自動検出と適用を行う
- 実際のネットワーク・フローのエージェントレスでの収集および解析により、適切な状態の振る舞いを学習する
- 機械学習に基づいて、ネットワーク・セキュリティ・ポリシーの改善策を推奨する
- 変更を導入する前に、その変更のインパクトをテストする「ドライラン」を行う
Cloudvisoryは、既存のポリシーを学習し、実際のネットワーク・フローに基づいて、インテリジェントな改善策を提案します。成熟したクラウド・セキュリティ・チームは、Cloudvisoryを利用して、既存の業務自動化プロセスを邪魔することなく、既存の「黄金比」のクラウド・セキュリティ・ポリシーの学習と適用を行い、変更を自動的に検知し、対応するアラートと推奨事項を生成できます。
“クラウドIaaSプロバイダーのネイティブなセキュリティ機能を使用して、アプリケーションの寿命期間にわたってセキュリティ・コントロールを自動化する”
- Gartner
クラウドネイティブなセキュリティ・コントロールを強化
パブリックおよびプライベートのクラウド環境には、それぞれのインフラにパワフルなセキュリティ・コントロールが組み込まれています。正しく設定されていれば、これらのネイティブなセキュリティ・コントロールは、クラウド内の動的なアプリケーションやマイクロサービスを保護するための最強のサポートを提供します。従来のセキュリティ・コントロールは静的であり、規模の拡大が難しく、設定が複雑で、クラウド環境には向きません。こういった従来のツールは、クラウド環境でスムーズに機能するように後付けすることはできません。クラウド・インフラはホワイトリストの性質を有するため、クラウド・セキュリティ・コントロールが正しく設定されていないと、従来のセグメンテーションが有するコントロールは役に立ちません。Cloudvisoryは、各クラウド・プロバイダーにおいてネイティブな適用コントロールを用いて、複数のクラウド環境を自動的にプロビジョニングし、セキュリティの確保と監視を行います。
パブリック・クラウド環境
- 多大な管理オーバーヘッドを伴う静的なコントロール
- インバウンド/アウトバウンドの中央ポイントでのゾーンベースのファイアウォール
- ゾーンあたりのサブネット/VLAN
- ゾーン間の明示的な信頼
- ゾーン内の暗示的な信頼(すなわち、ゾーン内すべてのトラフィックを許可)
- ホワイトリスト(許可)とブラックリスト(拒否)のルール
- セキュリティ・チームが一元管理
- 境界保護向けの設計
- 水平展開(East-West)トラフィックの制限はほとんどまたは全くない
プライベート・クラウド環境
- 動的なコントロールでセルフサービスが容易
- アセットごとのファイアウォール
- 各ワークロード(またはポート)自体がセグメント/ゾーンになる
- 明示的な信頼のみ(サブネット/VLAN内であっても)
- 暗示的な信頼はない
- 許可されるトラフィックのみのホワイトリスト化を重視
- クラウド・プロバイダーAPIの呼び出しによりコントロール
- ワークロード単位の保護向けに設計
- 明示的に許可されている場合を除き、水平展開(East-West)トラフィックを禁止
“境界線などというものはもう、とっくに死に絶えた”
- 名無しさん
攻撃を防ぎ、脅威を隔離
攻撃者は、多くの組織が、新しいクラウド環境でも従来のデータセンター環境でも以下のような状態であることを熟知しています:
- 境界ベースの防御的セキュリティ対策を重視している
- 内部の水平展開ネットワーク・トラフィックを制限する内部セキュリティ対策をしていない
- エンタープライズ環境内に存在する長期的で低レベルの攻撃検知のための可視化ができていない
攻撃者は有効な攻撃を見つけ、結局は対策が破られる。
多くの組織は境界ベースの防御的セキュリティ対策を重視しているため、現在の攻撃者は依然として、境界の防御を破ることに多くの時間とリソースを費やしています。これまでの経験から、「城壁を越える」のが最も難しいハードルだということがわかっています。いったん中に入ってしまえば、攻撃者は比較的自由に動き回れるので、組織内で時間をかけて試行錯誤し、コマンド&コントロールを維持しながら、価値のある標的に向かって水平展開できます。
組織がマルチクラウド環境に移行すると、この「境界」は、集中管理され、物理的に定義された静的なものから、分散し(「マルチクラウド」)、論理的に定義された(「フローティング/パブリックIP」)動的な(クラウド・プロバイダーAPIにより設定可能)ものへと変わります。その上、セルフサービス・クラウド(仮想化)テクノロジーによって効率とスケーラビリティは向上したものの、セキュリティと可視性がその犠牲になっています。セキュリティに関連するアセットとコントロールは増え、これまでにないほど頻繁に変化しています。
そこで、新しいアプローチが必要になります。深い可視性、継続的なコンプライアンス、適用可能なガバナンスによってセキュリティ運用を強化しながら、クラウドによって得られる効率とスケーラビリティのメリットを引き続き活用できるような、新しいアプローチです。
マイクロセグメンテーションがない場合の攻撃
- 攻撃者は高度な手法を用いて組織の境界を侵害する(North-South)
- 内部セグメンテーションがわずかなため、攻撃者が組織内で水平展開できる(East-West)
- 可視性の欠如と内部の弱点とが相まって、攻撃者はCommand & Controlを介して、必要な期間は存在を気づかれずにプレゼンスを維持できる
- 攻撃者は最終的に、価値のあるデータ・アセットに到達し、これを抽出する
- 多くの攻撃者は検知されないまま組織内に留まり、その期間は平均6~12か月に及ぶ
マイクロセグメンテーションがある場合の振る攻撃
- 攻撃にさらされる部分が最小限に
- マイクロセグメンテーションにより、内部のセグメンテーション・コントロールが外部の(境界)セグメンテーション・コントロールと同程度に強力になるため、水平展開(East-Westトラフィック)が最小限に抑えられる
- 実際のネットワークの振る舞いに対する深い可視性が得られるため、異常なネットワーク活動を迅速に検知可能。これには、既知の脅威(対処可能な脅威インテリジェンス)へのコマンド&コントロール通信や接続の検知が含まれる
- マイクロセグメンテーションにより、ごく初期の段階で攻撃を防げる
“千里の道も一歩から”
- 老子
マイクロセグメンテーションへの道
マイクロセグメンテーションは、Cloudvisoryに組み込まれているクラウドネイティブなガバナンス機能のサブセットです。
良好なガバナンスには、深い可視性と継続的なコンプライアンスが重要になります。マイクロセグメンテーションを実現するためには、何から始めるべきかを知り、正しい道を速やかに進むためのツール(手段)を手に入れることが必要です。
可視性
実際のネットワークの振る舞いに対する可視性は、マイクロセグメンテーションを実現するための第一歩です。
コンプライアンス
可視性によりコンプライアンス・ガードレールの基礎が得られます。これは、許可された(セルフサービスの)ポリシーに適切な制限を課しながら、デフォルトでのマイクロセグメンテーションの実現への足がかりとなります。
ガバナンス
ガバナンスはコンプライアンスの範囲を超えて、特定のクラウド・ワークロードに対して明示的なポリシーを設定します。これにより、すべてのクラウド・プロバイダー、アカウント、リージョンにわたって一貫したセキュリティ・ポリシーが適用されます。
Cloudvisoryが提供するもの
CSPM+CWPP
CSPMとCWPPの機能を単一のクラウド・セキュリティ・プラットフォームに統合しているのは、FireEye Cloudvisoryだけです。
マイクロセグメンテーション
Cloudvisoryはクラウド・プロバイダーの既存のクラウドネイティブなセキュリティ・コントロールを活用し、ワークロードのマイクロセグメンテーションを実行します。
DevSecOps
Cloudvisoryは一連の統合とソリューションを提供し、DevSecOps実践を強化します。
さあ、今すぐ始めましょう。
評価や詳しい説明をご希望の場合は ファイア・アイまでご連絡ください