データの保護 – SASE、CNAPP および CSMA の役割
データは耳鼻咽喉科にとって最も貴重なリソースとなっていますerp上昇します。 不思議ではありませんが、Ent を混乱させようとしている悪者がたくさんいます。erp企業がデータを盗んだり破損したりするのを防ぎます。
データ セキュリティとは、不正なユーザーやマリファナによるデータの破損からデータを保護することです。cio私たちの意図とデータの盗難。 多くのセキュリティ企業が、なぜアプリケーション、ネットワーク、エンドポイントの保護について話しているのに、データについてはあまり話していないのか疑問に思われるかもしれません。 その理由は、データとアプリケーションおよびシステムの間に強い関係があるためです。 アプリケーションとシステムを悪意のある者から保護しない限り、データのセキュリティを確保することはできません。
「データは新しい石油である」というフレーズは、アプリケーションとデータの関係を説明しています。 データは、原油と同様に、消費用に精製されない限り、生の状態では役に立ちません。 アプリケーションはデータを処理し、それをユーザーが利用しやすい方法で提供します。
SASE データセキュリティにおける役割
読んでください 解読 SASE 概要についてはブログをご覧ください SASE.
SASE は、オンプレミス クラウド、パブリック クラウド、パブリック エッジにわたる分散型の従業員と分散展開の世界において、アプリケーションを保護する上で重要な役割を果たします。 次のセクションでは、セキュリティに関する主要な懸念事項とその方法について説明します。 SASE それらに対処します。
耳鼻咽喉科erpライズは、さまざまなビジネス目的のために多くのアプリケーションを開発または展開します。 すべてのアプリケーションがすべてのエントリにアクセスする必要はない場合があります。erp上昇データ。 また、アプリケーションのすべてのユーザーがすべてのアプリケーション データにアクセスする必要はありません。 このため、「最小権限アクセス」と「ID ベースのアクセス制御」がデータ セキュリティの鍵となります。
アプリケーションはもはや単純ではありません。 開発者は、社内で構築、購入、オープンソースなどの多くのソフトウェア コンポーネントを使用するため、ソフトウェアが複雑になり脆弱になります。 攻撃者は、脅威ナレッジ ベースを活用し、脆弱性を悪用してアプリケーションにアクセスし、次にデータにアクセスしようとする傾向があります。 したがって、エクスプロイトからの脅威の保護はデータ セキュリティにとって重要です。
アプリケーション管理者はより高い権限を持っている傾向があるため、アプリケーションとシステムの管理が最も重要です。 管理者アカウントの認証情報が盗まれると、Ent は大混乱に陥る可能性があります。erp上昇します。 データ保護を強化するには、MFA の第 XNUMX レベルの採用、安全でない/未知の場所からのユーザーのアクセスの制限、異常な行動パターンを示すユーザーの制限など、いくつかのセキュリティ技術が必要です。
耳鼻咽喉科erpライズはアプリケーションを多くの場所に展開して、分散した従業員に低遅延のユーザー エクスペリエンスを提供し、アプリケーションが増加または異常な負荷に耐えられるようにします。 分散アプリケーションでは、データも分散されます。 このため、需要の増加やアプリケーションに対する DDoS 攻撃に対処するために、セキュリティも分散されることが予想されます。
ZTNA(ゼロトラストネットワークアクセス)プラットフォームと NGFW (次世代ファイアウォール) SASE 上記のセキュリティ上の懸念に対処します。 これによると、 SASE アプリケーションを保護し、アイデンティティベースのアクセスと認可制御を可能にすることで、データセキュリティに対処する重要なサイバーセキュリティ要素の XNUMX つになりつつあります。
「ZTNA は?」と疑問に思う人もいるかもしれません。 NGFW アプリケーションを保護し、それによってデータを保護するには十分です。 パブリック クラウドを活用したクラウド変革により、エンタープライズ向けパブリック エッジを実現erpアプリケーションが増加すると、攻撃対象領域が増加します。 データ セキュリティには、これらの攻撃対象領域を修正する必要があります。 そこで登場するのが CNAPP です。
クラウド変革による攻撃対象領域の増加
よりシンプルなアプリケーションのクラウド化により、エンタープライズ コストが削減されます。erp共通のインフラストラクチャ ソフトウェアのセキュリティがクラウド プロバイダーによって処理されるため、反応が高まります。 この図からわかるように、アプリケーションの開発者はますますビジネス ロジックに重点を置き、日常的なソフトウェア コンポーネントの責任をクラウド プロバイダーに任せるようになっています。
確かに、開発者はアプリケーション ロジックだけに集中する必要があり、オペレーティング システム、フレームワーク、データベース、ファイル ストレージ、キー管理、認証、認可システム、可観測性システムなどの共通サービスのメンテナンスとセキュリティ パッチ適用をクラウド プロバイダーに任せることで、コストを削減できます。セキュリティ責任はアプリケーションに限定される
とはいえ、分散した労働力と低遅延エクスペリエンスを必要とする新しい種類のアプリケーションにより、アプリケーションの導入が複雑になり、その結果、より多くの攻撃対象領域が露出します。
最高のユーザー エクスペリエンスを提供するために、アプリケーションをクラウド プロバイダーのリージョン全体だけでなく、複数のクラウド プロバイダーやエッジ プロバイダーにわたって複数の場所にデプロイする必要性がますます高まっています。 さらに、アプリケーションはオンデマンドベースでエッジにデプロイされることが増えています。 つまり、アプリケーション サービスを必要とするクライアントが近くにある場合にのみ、アプリケーションが展開されます。 コスト上の理由から、完全に複雑なアプリケーションをすべての Edge に展開することは保証されません。 マイクロサービス アーキテクチャへようこそ。 アプリケーション開発者は、生産性を高めるためだけでなく、部分的なアプリケーションをエッジにデプロイし、残りをクラウドに保持することを可能にするために、マイクロサービス アーキテクチャを採用しています。
次の図 (簡潔にするために簡略化しています) は、マイクロサービス ベースのアプリケーションのデプロイメントを示しています。 この任意のアプリケーション例では、アプリケーションのマイクロサービス 1 と 2 は低遅延エクスペリエンスを提供するためにエッジにデプロイされ、マイクロサービス 3 と 4 はアプリケーションの他の操作のためにクラウドにデプロイされます。 図には 5 つの攻撃対象ポイントが示されています。
- エンド クライアントとフロントエンド マイクロサービス 1 間の通信、およびエッジとクラウドにわたるマイクロサービス間通信
- エッジ ロケーションまたはクラウド ロケーション内のマイクロサービス間の通信。
- アプリケーション マイクロサービスとクラウド/エッジ プロバイダー サービス間の通信
- 外部からプロバイダー サービスへの通信。
- マイクロサービスの内部ソフトウェア コンポーネント
包括的なセキュリティはすべての攻撃対象領域に対処することが期待されます。
攻撃対象領域 (1) には、次の方法で対処できます。 SASE ZTNA& NGFW。 他のすべての攻撃面は、分散コンピューティング、マイクロサービス アーキテクチャ、およびクラウド プロバイダー サービスを使用するアプリケーションによって明らかになりました。 これは主にクラウド/エッジの変革によるものであるため、ガートナーはこれらのセキュリティ課題に対処するために CNAPP モデルと呼ばれる新しいカテゴリを定義しました。
攻撃対象領域の増加に対処するための CNAPP (クラウド ネイティブ アプリケーション保護プラットフォーム)
CNAPP は、クラウド セキュリティ体制管理 (CSPM)、クラウド サービス ネットワーク セキュリティ (CSNS)、およびクラウド ワークロード保護プラットフォーム (CWPP) を単一のプラットフォームに組み合わせたクラウド ネイティブ セキュリティ モデル/テクノロジーです。 CNAPP は、複数のクラウド セキュリティ ツールを XNUMX つのプラットフォームに組み合わせることで、アプリケーションのライフ サイクル (ビルド、デプロイからランタイム フェーズまで) 全体の包括的な可視性、複数のテクノロジーにわたる包括的な制御などの利点を提供します。 Gartner が作った他の用語と同様に、CNAPP 用語も、サプライヤーと消費者の間でセキュリティ機能/プラットフォーム機能についての共通の理解を提供することが期待されています。 CNAPP の構成要素を確認し、攻撃対象領域のポイントをこれらの構成要素にマッピングしましょう。
クラウド セキュリティ体制管理 (CSPM): CSPM 機能により Enterpすべてのクラウド リソース/サービスの可視性が向上します。erp複数のクラウドプロバイダーからのアプリケーションを使用することになります。 CSPM は、クラウド サービスとそれらを使用するアプリケーションもマッピングします。
CSPM の最大の利点は、設定ミスを検出するための設定スキャンです。 クラウド プロバイダー サービスは非常に汎用的なため、そのセキュリティはその構成と同様に優れています。 クラウド プロバイダー サービスはマルチテナントであり、そのアクセスは Ent によって制御できないことを理解することが重要です。erp上昇します。 構成が間違っていると、攻撃者がそれらのサービスにアクセスし、データを盗んだり破損したりする可能性があります。 たとえば、データベース サービスが誤って誰からのアクセスも許可するように設定されている場合、Ent のアクセス権が付与される可能性があります。erpアプリケーションによってデータベース サービスに保存されたデータが増加します。
CSPM はクラウド サービス内のデータのコンプライアンス チェックも実行し、コンプライアンス違反の可視性を Ent に提供します。erp上昇します。
CSPM は、上の図にリストされている攻撃対象領域 (4) に対処します。.
クラウド サービス ネットワーク セキュリティ (CSNS): CSNS は、アプリケーションのマイクロサービス間のネットワーク レベルのセキュリティと、マイクロサービスとクラウド サービス間のネットワーク セキュリティを提供します。 その機能は次のようなものです SASE/ZTNA。 その機能には以下が含まれます NGFW、WAF、ID ベースのアクセス制御、WAF、API 保護、DoS/DDoS 防止。 CSNS は、そのダイナミズムにおいて従来のネットワーク セキュリティとは異なります。 動的なワークロードのため、CSNS セキュリティのライフ サイクルはアプリケーションのライフ サイクルと一致している必要があります。
CSNS は、上の図の攻撃対象領域 (2) と (3) に対処します。. 基本的に、CSNS は EW トラフィックにネットワーク セキュリティを提供します。
クラウド ワークロード保護プラットフォーム (CWPP): CWPP 機能は主に次のことをチェックします。
- ワークロード イメージ (VM、コンテナ、サーバーレス) の脆弱性。イメージを分析し、ソフトウェア インベントリ、インベントリ バージョンを取得し、脅威インテリジェンス データベースと照合してソフトウェア インベントリ内の既知の脆弱性を把握します。
- マルウェアの検出とアンwanイメージ内のソフトウェアを検出して、サプライ チェーンにマルウェアが導入されていないことを確認します。
- 実行時にホスト侵入防止テクノロジーを介して悪用されます。
- Intel SGx などのセキュア ガード テクノロジを使用したランタイム メモリ保護。
- RASP (Runtime Application Self Protection) によるランタイム ワークロード保護
CWPP は、上の図にリストされている攻撃対象領域 (5) に対処します.
アプリケーションにおける Kubernetes の人気に伴い、上記のテクノロジーが Kubernetes 上で動作するように提供されています。 KSPM (Kubernetes Security Posture Management) は CSPM に似ていますが、Kubernetes 用に調整されています。 それはもしかしたら mattやがて、KWPP (Kubernetes Workload Protection Platform) や KSNS (Kubernetes Network Security Service) などの用語を目にするようになります。
CSNSと SASE
CSNS の機能は ZTNA によく似ており、 NGFW。 どちらもネットワーク セキュリティ技術であるためです。 エントerpNS (南北) と EW (東西) の両方のトラフィックに統一テクノロジーを適用することを望む声が高まっています。 したがって、CSNS 機能は次のように提供されると考えられています。 SASE プロバイダー。 ユニバーサル SASE ネットワークに関連するすべての攻撃対象領域に対処することが期待されています。 WAN、Kubernetes ネットワーク、サービス メッシュを備えた Kubernetes ネットワーク、VPC ネットワーク、エッジ ネットワークなど。多くの CNAPP プロバイダーが CSNS についてあまり語らなくなったため、これがトレンドであり、受け入れられているようです。
サイバー セキュリティ メッシュ アーキテクチャ (CSMA)
最大の課題の XNUMX つerpセキュリティのサイロ化が表面化します。 エントerpRises は、オンプレミス セキュリティ、エンドポイント セキュリティ、ネットワーク セキュリティ、クラウド セキュリティの要件に対処するために、さまざまなベンダーの複数のセキュリティ機能を導入するために使用されます。 各セキュリティ機能には、ポリシー管理、可観測性、およびデータ プレーンが付属しています。 その結果、管理と可視性が複雑になり、セキュリティ設定エラーが発生し、セキュリティ インシデントの検出と対応が見逃されたり、遅れたりする可能性があります。 Gartner は、セキュリティに関する思想的リーダーシップの一環として CSMA という用語を作成しました。 Gartner は、Ent が次のことを認識しました。erpさまざまなセキュリティ ベンダーの複数のセキュリティ機能を利用する必要があります。 CSMA コンセプトは耳鼻咽喉科のニーズに対応しようとしていますerpポリシー管理と可観測性のために単一画面を必要とする増加。
Gartner は、複数のセキュリティ機能の構成を可能にするためにセキュリティ ベンダーが従うべきいくつかの原則を定義しました。 主な原則は、セキュリティ ベンダーが CLI やポータル インターフェイスを超えて API を公開することです。 API ファーストのアプローチにより、Entity を使用できるようになります。erpポリシー管理とセキュリティ分析のための単一の統合ダッシュボードを実現するために、セキュリティ プロバイダーを強化または管理します。
Gartner はまた、ユーザーの分散型 ID を備えた「ID ファブリック」の必要性も指摘しています。 今日は、耳鼻科erp同社は、AD、LDAP、SAML IdP、OIDC IdP などのテクノロジーを使用して資格情報データベースを維持しています。従業員の ID データベースがあるのは問題ありませんが、一般ユーザーの ID データベースを維持することは、プライバシーとセキュリティの側面からの課題です。 ID データベースと ID チェックを分散 ID プロバイダーにオフロードすることは、エンタープライズとエンタープライズの双方にとって有利です。erp上昇とエンドユーザー。 ADI協会 と W3C は、分散型 ID ファブリックを実現するための共通のフレームワークと仕様に取り組んでいます。
CSMA は実際のセキュリティに直接対処するものではありませんが、このアーキテクチャ/コンセプトはセキュリティ設定エラーを最小限に抑え、E2E の可視性を提供してインシデントの迅速な検出と対応を実現します。
SASE と CNAPP は、CSMA の実現に向けてまさに方向性を持っています。 SASE ネットワーク セキュリティ ポリシーの管理と可観測性を単一画面で提供することにより、すべてのネットワーク セキュリティ機能とネットワーク機能を統合します。 CNAPP は、すべてのクラウド セキュリティ機能を XNUMX つの傘の下に統合します。 CSMA は、以下を含む XNUMX レベル上の統合です。 SASE、CNAPP、エンドポイント セキュリティ、アイデンティティ、およびその他のサイバーセキュリティ テクノロジ。
まとめ
データ セキュリティには、データ暗号化、データ ガバナンス、データ マスキング、サイバーセキュリティなどの多くのテクノロジーが必要です。 SASE はサイバーセキュリティに不可欠な部分です。 クラウドとエッジの変革と、マイクロサービス アーキテクチャなどの新しいアプリケーション アーキテクチャを組み合わせると、追加の攻撃対象ポイントが明らかになります。 CNAPP、ユニバーサルとの組み合わせ SASE 新たな攻撃対象領域に関連するセキュリティ上の課題に対処します。
-
CTO の洞察ブログ
Aryaka CTO Insights ブログ シリーズは、ネットワーク、セキュリティ、およびセキュリティに関するソート リーダーシップを提供します。 SASE トピック。 Aryaka 製品仕様については、Aryaka データシートを参照してください。
著者について
