データの保護 – SASE、CNAPP および CSMA の役割

データは耳鼻咽喉科にとって最も貴重なリソースとなっていますerp上昇します。 不思議ではありませんが、Ent を混乱させようとしている悪者がたくさんいます。erp企業がデータを盗んだり破損したりするのを防ぎます。

データ セキュリティとは、不正なユーザーやマリファナによるデータの破損からデータを保護することです。cio私たちの意図とデータの盗難。 多くのセキュリティ企業が、なぜアプリケーション、ネットワーク、エンドポイントの保護について話しているのに、データについてはあまり話していないのか疑問に思われるかもしれません。 その理由は、データとアプリケーションおよびシステムの間に強い関係があるためです。 アプリケーションとシステムを悪意のある者から保護しない限り、データのセキュリティを確保することはできません。

「データは新しい石油である」というフレーズは、アプリケーションとデータの関係を説明しています。 データは、原油と同様に、消費用に精製されない限り、生の状態では役に立ちません。 アプリケーションはデータを処理し、それをユーザーが利用しやすい方法で提供します。

SASE データセキュリティにおける役割

読んでください 解読 SASE 概要についてはブログをご覧ください SASE.

SASE 従業員が分散し、オンプレミス全体に展開されるこの世界においてアプリケーションを保護する上で重要な役割を果たします。 Cloud、公衆 cloud、およびパブリックエッジ。 次のセクションでは、セキュリティに関する主要な懸念事項とその方法について説明します。 SASE それらに対処します。

耳鼻咽喉科erpライズは、さまざまなビジネス目的のために多くのアプリケーションを開発または展開します。 すべてのアプリケーションがすべてのエントリにアクセスする必要はない場合があります。erp上昇データ。 また、アプリケーションのすべてのユーザーがすべてのアプリケーション データにアクセスする必要はありません。 このため、「最小権限アクセス」と「ID ベースのアクセス制御」がデータ セキュリティの鍵となります。

アプリケーションはもはや単純ではありません。 開発者は、社内で構築、購入、オープンソースなどの多くのソフトウェア コンポーネントを使用するため、ソフトウェアが複雑になり脆弱になります。 攻撃者は、脅威ナレッジ ベースを活用し、脆弱性を悪用してアプリケーションにアクセスし、次にデータにアクセスしようとする傾向があります。 したがって、エクスプロイトからの脅威の保護はデータ セキュリティにとって重要です。

アプリケーション管理者はより高い権限を持っている傾向があるため、アプリケーションとシステムの管理が最も重要です。 管理者アカウントの認証情報が盗まれると、Ent は大混乱に陥る可能性があります。erp上昇します。 データ保護を強化するには、MFA の第 XNUMX レベルの採用、安全でない/未知の場所からのユーザーのアクセスの制限、異常な行動パターンを示すユーザーの制限など、いくつかのセキュリティ技術が必要です。

耳鼻咽喉科erpライズはアプリケーションを多くの場所に展開して、分散した従業員に低遅延のユーザー エクスペリエンスを提供し、アプリケーションが増加または異常な負荷に耐えられるようにします。 分散アプリケーションでは、データも分散されます。 このため、需要の増加やアプリケーションに対する DDoS 攻撃に対処するために、セキュリティも分散されることが予想されます。

ZTNA（ゼロトラストネットワークアクセス）プラットフォームと NGFW (次世代ファイアウォール) SASE 上記のセキュリティ上の懸念に対処します。 これによると、 SASE アプリケーションを保護し、アイデンティティベースのアクセスと認可制御を可能にすることで、データセキュリティに対処する重要なサイバーセキュリティ要素の XNUMX つになりつつあります。

「ZTNA は？」と疑問に思う人もいるかもしれません。 NGFW アプリケーションを保護し、それによってデータを保護するには十分です。 と Cloud 公共活用の変革 clouds、Ent のパブリック エッジerpアプリケーションが増加すると、攻撃対象領域が増加します。 データ セキュリティには、これらの攻撃対象領域を修正する必要があります。 そこで登場するのが CNAPP です。

攻撃対象領域の増加 Cloud

Cloud より単純なアプリケーションの変換により、Ent の負荷が軽減されます。erp共通のインフラストラクチャ ソフトウェアのセキュリティが、 cloud プロバイダー。 この図から、アプリケーションの開発者はますますビジネス ロジックに重点を置き、日常的なソフトウェア コンポーネントの責任を任せるようになっています。 cloud プロバイダ。

確かに、開発者はアプリケーション ロジックだけに集中すればよく、オペレーティング システム、フレームワーク、データベース、ファイル ストレージ、キー管理、認証、認可システム、可観測性システムなどの共通サービスのメンテナンスとセキュリティ パッチの適用は任せておけばよいのです。 cloud プロバイダーとの連携により、アプリケーションに限定されたセキュリティ責任が軽減されます。

とはいえ、分散した労働力と低遅延エクスペリエンスを必要とする新しい種類のアプリケーションにより、アプリケーションの導入が複雑になり、その結果、より多くの攻撃対象領域が露出します。

アプリケーションは、地域全体だけでなく、複数の場所にデプロイする必要性がますます高まっています。 cloud プロバイダーだけでなく、複数のプロバイダーにもまたがる cloud プロバイダーとエッジプロバイダーが最高のユーザーエクスペリエンスを提供します。 さらに、アプリケーションはオンデマンドベースでエッジにデプロイされることが増えています。 つまり、アプリケーション サービスを必要とするクライアントが近くにある場合にのみ、アプリケーションが展開されます。 コスト上の理由から、完全に複雑なアプリケーションをすべての Edge に展開することは保証されません。 マイクロサービス アーキテクチャへようこそ。 アプリケーション開発者は、生産性を高めるためだけでなく、部分的なアプリケーションをエッジに展開し、残りをエッジに保持できるようにするために、マイクロサービス アーキテクチャを採用しています。 clouds.

次の図 (簡潔にするために簡略化しています) は、マイクロサービス ベースのアプリケーションのデプロイメントを示しています。 この任意のアプリケーション例では、アプリケーションのマイクロサービス 1 と 2 は低遅延エクスペリエンスを提供するためにエッジにデプロイされ、マイクロサービス 3 と 4 はエッジにデプロイされます。 cloudアプリケーションの他の操作用。 図には 5 つの攻撃対象ポイントが示されています。

1. エンド クライアントとフロントエンド マイクロサービス 1 間の通信、およびエッジとマイクロサービス間の通信 Cloud
2. エッジロケーション内のマイクロサービス間の通信または cloud 場所。
3. アプリケーション マイクロサービスと cloud/エッジプロバイダーサービス
4. 外部からプロバイダー サービスへの通信。
5. マイクロサービスの内部ソフトウェア コンポーネント

包括的なセキュリティはすべての攻撃対象領域に対処することが期待されます。

攻撃対象領域 (1) には、次の方法で対処できます。 SASE ZTNA& NGFW。 他のすべての攻撃面は、分散コンピューティング、マイクロサービス アーキテクチャ、およびアプリケーションを使用することによって明らかになりました。 cloud プロバイダーサービス。 これは主に次の原因によるものなので、 cloud/edge 変換に伴い、Gartner はこれらのセキュリティ上の課題に対処するために CNAPP モデルと呼ばれる新しいカテゴリを定義しました。

CNAPP (Cloud Native Application Protection Platform) の増加に対処するための攻撃対象領域

CNAPP は、 cloud ネイティブ セキュリティ モデル/テクノロジーを組み合わせたもの Cloud セキュリティ体制管理 (CSPM)、 Cloud サービス ネットワーク セキュリティ (CSNS) と Cloud 単一プラットフォーム内のワークロード保護プラットフォーム (CWPP)。 複数組み合わせることで cloud CNAPP は、セキュリティ ツールを XNUMX つのプラットフォームに統合することで、アプリケーションのライフ サイクル (構築、展開から実行時フェーズまで) 全体の包括的な可視性、複数のテクノロジーにわたる包括的な制御などの利点を提供します。 Gartner によって造られた他の用語と同様に、CNAPP 用語も、サプライヤーと消費者の間でセキュリティ機能/プラットフォーム機能についての共通の理解を提供することが期待されています。 CNAPP の構成要素を確認し、攻撃対象領域のポイントをこれらの構成要素にマッピングしましょう。

Cloud セキュリティ体制管理 (CSPM): CSPM 機能により Enterpすべての可視性が高まります cloud リソース/サービス Enterp複数のアプリケーションから使用されるライズアプリケーション cloud プロバイダー。 CSPM はまた、 cloud サービスとそれを使用するアプリケーション。

CSPM の最大の利点は、設定ミスを検出するための設定スキャンです。 以来 cloud プロバイダー サービスは非常に汎用的であり、そのセキュリティはその構成と同様に優れています。 それを理解することが重要です。 cloud プロバイダー サービスはマルチテナントであり、そのアクセスは Ent によって制御できません。erp上昇します。 構成が間違っていると、攻撃者がそれらのサービスにアクセスし、データを盗んだり破損したりする可能性があります。 たとえば、データベース サービスが誤って誰からのアクセスも許可するように設定されている場合、Ent のアクセス権が付与される可能性があります。erpアプリケーションによってデータベース サービスに保存されたデータが増加します。

CSPM は、次のデータのコンプライアンス チェックも実行します。 cloud サービスを提供し、Ent にコンプライアンス違反の可視性を提供します。erp上昇します。

CSPM は、上の図にリストされている攻撃対象領域 (4) に対処します。.

Cloud サービス ネットワーク セキュリティ (CSNS):  CSNS は、アプリケーションのマイクロサービス間のネットワーク レベルのセキュリティと、マイクロサービスとアプリケーション間のネットワーク セキュリティを提供します。 cloud サービス。 その機能は次のようなものです SASE/ZTNA。 その機能には以下が含まれます NGFW、WAF、ID ベースのアクセス制御、WAF、API 保護、DoS/DDoS 防止。 CSNS は、そのダイナミズムにおいて従来のネットワーク セキュリティとは異なります。 動的なワークロードのため、CSNS セキュリティのライフ サイクルはアプリケーションのライフ サイクルと一致している必要があります。

CSNS は、上の図の攻撃対象領域 (2) と (3) に対処します。. 基本的に、CSNS は EW トラフィックにネットワーク セキュリティを提供します。

Cloud ワークロード保護プラットフォーム (CWPP): CWPP 機能は主に次のことをチェックします。

• ワークロード イメージ (VM、コンテナ、サーバーレス) の脆弱性。イメージを分析し、ソフトウェア インベントリ、インベントリ バージョンを取得し、脅威インテリジェンス データベースと照合してソフトウェア インベントリ内の既知の脆弱性を把握します。
• マルウェアの検出とアンwanイメージ内のソフトウェアを検出して、サプライ チェーンにマルウェアが導入されていないことを確認します。
• 実行時にホスト侵入防止テクノロジーを介して悪用されます。
• Intel SGx などのセキュア ガード テクノロジを使用したランタイム メモリ保護。
• RASP (Runtime Application Self Protection) によるランタイム ワークロード保護

CWPP は、上の図にリストされている攻撃対象領域 (5) に対処します.

アプリケーションにおける Kubernetes の人気に伴い、上記のテクノロジーが Kubernetes 上で動作するように提供されています。 KSPM (Kubernetes Security Posture Management) は CSPM に似ていますが、Kubernetes 用に調整されています。 それはもしかしたら mattやがて、KWPP (Kubernetes Workload Protection Platform) や KSNS (Kubernetes Network Security Service) などの用語を目にするようになります。

CSNSと SASE

CSNS の機能は ZTNA によく似ており、 NGFW。 どちらもネットワーク セキュリティ技術であるためです。 エントerpNS (南北) と EW (東西) の両方のトラフィックに統一テクノロジーを適用することを望む声が高まっています。 したがって、CSNS 機能は次のように提供されると考えられています。 SASE プロバイダー。 ユニバーサル SASE ネットワークに関連するすべての攻撃対象領域に対処することが期待されています。 WAN、Kubernetes ネットワーク、サービス メッシュを備えた Kubernetes ネットワーク、VPC ネットワーク、エッジ ネットワークなど。多くの CNAPP プロバイダーが CSNS についてあまり語らなくなったため、これがトレンドであり、受け入れられているようです。

サイバー セキュリティ メッシュ アーキテクチャ (CSMA)

最大の課題の XNUMX つerpセキュリティのサイロ化が表面化します。 エントerpライズは、オンプレミス セキュリティ、エンドポイント セキュリティ、ネットワーク セキュリティ、 Cloud セキュリティ要件。 各セキュリティ機能には、ポリシー管理、可観測性、およびデータ プレーンが付属しています。 その結果、管理と可視性が複雑になり、セキュリティ設定エラーが発生し、セキュリティ インシデントの検出と対応が見逃されたり、遅れたりする可能性があります。 Gartner は、セキュリティに関する思想的リーダーシップの一環として CSMA という用語を作成しました。 Gartner は、Ent が次のことを認識しました。erpさまざまなセキュリティ ベンダーの複数のセキュリティ機能を利用する必要があります。 CSMA コンセプトは耳鼻咽喉科のニーズに対応しようとしていますerpポリシー管理と可観測性のために単一画面を必要とする増加。

Gartner は、複数のセキュリティ機能の構成を可能にするためにセキュリティ ベンダーが従うべきいくつかの原則を定義しました。 主な原則は、セキュリティ ベンダーが CLI やポータル インターフェイスを超えて API を公開することです。 API ファーストのアプローチにより、Entity を使用できるようになります。erpポリシー管理とセキュリティ分析のための単一の統合ダッシュボードを実現するために、セキュリティ プロバイダーを強化または管理します。

Gartner はまた、ユーザーの分散型 ID を備えた「ID ファブリック」の必要性も指摘しています。 今日は、耳鼻科erp同社は、AD、LDAP、SAML IdP、OIDC IdP などのテクノロジーを使用して資格情報データベースを維持しています。従業員の ID データベースがあるのは問題ありませんが、一般ユーザーの ID データベースを維持することは、プライバシーとセキュリティの側面からの課題です。 ID データベースと ID チェックを分散 ID プロバイダーにオフロードすることは、エンタープライズとエンタープライズの双方にとって有利です。erp上昇とエンドユーザー。  ADI協会 と W3C は、分散型 ID ファブリックを実現するための共通のフレームワークと仕様に取り組んでいます。

CSMA は実際のセキュリティに直接対処するものではありませんが、このアーキテクチャ/コンセプトはセキュリティ設定エラーを最小限に抑え、E2E の可視性を提供してインシデントの迅速な検出と対応を実現します。

SASE と CNAPP は、CSMA の実現に向けてまさに方向性を持っています。  SASE ネットワーク セキュリティ ポリシーの管理と可観測性を単一画面で提供することにより、すべてのネットワーク セキュリティ機能とネットワーク機能を統合します。 CNAPP はすべてを統合します cloud セキュリティ機能は XNUMX つの傘の下にあります。 CSMA は、以下を含む XNUMX レベル上の統合です。 SASE、CNAPP、エンドポイント セキュリティ、アイデンティティ、およびその他のサイバーセキュリティ テクノロジ。

まとめ

データ セキュリティには、データ暗号化、データ ガバナンス、データ マスキング、サイバーセキュリティなどの多くのテクノロジーが必要です。  SASE はサイバーセキュリティに不可欠な部分です。 Cloud エッジ変換とマイクロサービス アーキテクチャなどの新しいアプリケーション アーキテクチャを組み合わせると、追加の攻撃対象ポイントが明らかになります。 CNAPP、ユニバーサルとの組み合わせ SASE 新たな攻撃対象領域に関連するセキュリティ上の課題に対処します。

• CTO の洞察ブログ

  　 Aryaka CTO Insights ブログ シリーズでは、ネットワーク、セキュリティ、およびセキュリティに関するソート リーダーシップを提供します。 SASE トピック。 のために Aryaka 製品仕様を参照してください Aryaka データシート。