マルチクラウド時代のセキュリティ【前編】セキュリティ事情の変化から生じる課題(テックコラム)

f:id:sbc_matsui:20200910171329p:plain

前回は、Alibaba Cloudの多層防御の概要についてご紹介し、多層防御はクラウド時代となっても変わらない対策の概念であるというお話をしました。

〈前回記事〉
【テックコラム】Alibaba Cloud多層防御セキュリティの全体概要

そして今回はクラウド時代ならではの、特にマルチクラウドアプローチにおけるセキュリティのスタンダードの変化とマルチクラウドの概念そのものに着目しながらご紹介します。

概要

・マルチクラウド時代の環境変化と自社のアプローチに合わせて、ベンダーを鵜呑みにしない最適な脅威対策が重要。
・ハイブリッドクラウドとマルチクラウドは、似ているようでアプローチとしては対立するものである。
・マルチクラウドにおいてセキュリティ運用が複雑化する課題は、マルチクラウド対応のプロダクトが解決の糸口になる。

 

セキュリティにおけるニューノーマル


コロナ禍に見舞われた日本では、ほとんどの日本国民がウイルス対策の最善策を論じてきたのではないでしょうか。まずは、入国制限リストで渡航を制限し、感染が疑われる入国者は空港で検疫・隔離しました。やがて市中へ感染が広がると、国内の都道府県ごとに往来を自粛させ、地域で感染者と二次感染のクラスタを確認すれば、行動を追跡して全件対処をおこなうようになりました。

さらに感染が拡大した国では水際対策や往来制限による感染防止は物理的に不可能または無意味と判断し、徹底的な検査で陽性と陰性を区別しようとしました。スマホアプリ等で陽性者を可視化し、陽性者は個体番号を付与して自宅隔離、この情報に基づき、各国のポリシーで公共交通機関やサービスを利用の制限をかけます。

これをITセキュリティの世界で言うならば、前者が従来スタンダードだった”安全なエリア”と”危険なエリア”を区別する「ネットワーク分離モデル」で、後者が安全なエリアはないとするクラウド時代の「ゼロトラストモデル」と言えます。

従来のネットワーク分離モデル
〈従来のネットワーク分離モデル〉

この「ネットワーク分離モデル」的な検疫システムが無力化してしまったwithコロナの時代には、「ゼロトラストモデル」を前提として考えるようになったITセキュリティの世界と同様ことが起きています。すなわち、とりまく環境や組織が置かれた状況が変われば、最善であったはずの高度なセキュリティ対策も陳腐化するどころか、社会と組織を疲弊させることになるのです。

特に、ITセキュリティにおいては、しばしば二項対立のアプローチの優劣が議論されてきました。システムの利用がオンプレミスからハイブリッドクラウド、マルチクラウドが主流となり、企業のITシステムをとりまく環境が変化し、これまで正解とされたセキュリティアーキテクチャが変化しつつあります。

昨今、メジャーなクラウドサービスのユーザー企業では、ベンダのソリューションアーキテクトにベストプラクティスとして、”全部盛りセキュリティ”の提案を受けることを経験しているでしょう。しかし、企業のITストラテジストや情報セキュリティ担当者は、ベンダが唱えるホラーストーリーや安全神話に惑わされず、採用すべきセキュリティプロダクト・サービスの見極めが重要です。

オンプレ時代に当たり前だったアプローチが、クラウド時代となればアンチパターンに変化しているものがあります。それと同様に、シングルベンダクラウドでは正しかったアーキテクチャは、マルチクラウド時代にはクラウドロックインとなりつつあります。そうした時代に登場したいくつかの「二項対立のアプローチ」とその変化について考えながら進めていきたいと思います。

 

ハイブリッドクラウドとマルチクラウド


まずは、”ハイブリッドクラウド”の”マルチクラウド”という二項対立のアプローチです。そもそも用語として混乱しやすい両者ですが、元来の定義としては図の通りです。

マルチクラウドとハイブリッドクラウド
〈ハイブリッドクラウドとマルチクラウド〉

似た用語である、とも言えるのですが、対立するアプローチとも言えます。ハイブリッドクラウドは、単純にマルチクラウドであるかどうかを意識せずに、オンプレミスとパブリッククラウドの組み合わせの意味でも使われますが、マルチクラウドアプローチを否定する文脈に用いているベンダもあるのです。

ところで、マルチクラウドアプローチを普及させたのはMicrosoft社でしょう。OSとオフィススィートで大きなシェアを占め、現在はベースとしたIaaSとオフィスサービスをクラウドで提供する企業へと変貌したためです。独特なコツが必要なハイパーバイザとグループウェアをクラウド提供中心に切り替えたことは見事なアプローチでした。
ただ、社内システムや自社サービスのすべてをMicrosoftに限定している企業は限られるでしょう。自社サービスには主にスケールアウト時のコストに優れるLinuxやOSSを利用するため、別のクラウドサービスやオンプレミスを組み合わせるのが一般的です。

いずれにせよ、多くの企業や組織がマルチクラウドのアプローチを採用するようになったことで、情報セキュリティ管理者はセキュリティプロダクトの選定において新しい問題に遭遇することになりました。個々のクラウドに最適なプロダクトを選定するか、複数のクラウドで横断的に利用できるプロダクトを選定するか、場合によってはオンプレミスを含めて横断で利用することも検討する必要があります。

 

マルチクラウドにおけるセキュリティ対策


最低限のセキュリティとしてマルウェア対策のみとする場合、WindowsサーバとクライアントにはWindows Defenderを活用し、マルウェア対策の効果が限定的でWindowsに関連するファイルを取り扱わないLinuxサーバにはエンドポイント対策製品を導入しない、追加コストを発生させないアプローチも有効です。

しかし、例えばゲームやメディアなどの自社サービスの停止が重大な損失をもたらす企業では、サービスを保護するために多層防御を構成し、Web等の保護のためにネットワーク層にWAFやさらにDDoS対策製品を導入することが必要になります。このような企業では、マルチクラウドでのセキュリティ製品運用の問題に遭遇します。

 

課題例:マルチクラウドにおけるWAF運用

WAFの運用を一つの例にとって考えてみましょう。
例えば、公開サービスのインフラとしてメジャーなAWSでは独自のWAF製品を提供しており、当然AWSを保護するために利用することを前提としています。このような特定のプラットフォームに組み込まれることに特化したWAF製品は1つのクラウドサービスだけを利用する場合には設定を簡素化するベストプラクティスに見えますが、マルチクラウド環境となるとアンチパターンに変化します。

WAFは初期設定から多くポリシー設定が必要で、それなりの時間を割くことになります。ホワイトリストとブラックリストのいずれの方式で運用するにせよ、一般に数千種類のシグニチャからポリシーを設計し、誤検知を防止するためのチューニングが必要になります。このため、複数のセキュリティプロダクトを利用する場合、その後の監視運用でレポート作成やアラート運用、インシデント対応の設計をする段階において、基本設計に位置するような粒度では共通化も可能ですが、より具体的な詳細設計・設定の粒度では大きな負担となります。

マルチクラウドのセキュリティ
〈マルチクラウドにおけるセキュリティ運用のアンチパターン〉

実際問題として、セキュリティプロダクトごとに、
・それぞれのシグニチャやアラートレベルから同レベルの共通運用設計を行う
・不定期に更新されるそれぞれのシグニチャごとの適用可否を判断する
・致命的な脆弱性や新たな攻撃手法の脅威にさらされた際に、それぞれで対策を実施する
というのは、セキュリティ運用に大きな負担となります。
このような場合、複数プロダクトに対応するSIerやSOC事業者のマネージドセキュリティサービスによって煩雑なセキュリティ管理をアウトソースすることが一般的な解決策ですが、それなりの費用がかかるのも事実です。

Alibaba Cloud WAFという解決策

そこでマルチクラウドにおけるセキュリティにおいて、新たな解決策を提示するのがメジャークラウドの一角に成長したAlibaba Cloudです。Alibaba Cloudは充実したセキュリティプロダクトを提供するセキュリティベンダーでもあります。アリババはサービスへの攻撃が桁違いに多い中国で、自らECサイトやモバイル決済といった巨大なサービスを、常に膨大な脅威と戦いながら提供してきた背景があります。そしてその経験とノウハウを、ユーザーのニーズに応えるかたちで、「マルチクラウド対応」のセキュリティプロダクトとして提供しています。

Alibaba Cloudマルチクラウド対応セキュリティプロダクト
〈Alibaba Cloudマルチクラウド対応セキュリティプロダクト〉

たとえばWebサーバの保護、多層防御における入口対策に用いられるAlibaba Cloudの「WAF」は、保護対象のWebサーバをDNSで設定し、リバースプロキシ方式で保護します。
(DDoS対策プロダクトの「Anti-DDoS」も同様です。)

Alibaba Cloud WAFの管理コンソールのDNS設定画面(画面は手動設定)
〈Alibaba Cloud WAFの管理コンソールのDNS設定画面(画面は手動設定)〉

この点でお気づきになる方もいると思いますが、標準的なプロトコルであるDNS設定によるリバースプロキシ型であるということは、保護対象がAlibaba Cloudに限定されず、他のメジャークラウドやオンプレミスのWebサーバも対象となりマルチクラウドで横断的なWebサーバ保護を提供するということです。このため、Alibaba CloudのWAFとAnti-DDoS、マルチクラウド環境において横断的で統一的なセキュリティ対策を提供します。

 

さて、今回はマルチクラウドアプローチにおけるセキュリティのスタンダードの変化を踏まえて、その課題と対策の一例を取り上げました。次回は、内部対策など異なるレイヤーのセキュリティ対策における課題と対策に加え、マルチクラウドと対立するアプローチの功罪について解説します。

 

〈後編〉

www.sbcloud.co.jp

  

〈関連記事〉


【テックコラム】Alibaba Cloud多層防御セキュリティの全体概要

 

www.sbcloud.co.jp

f:id:sbc_kitano:20200811193554j:plain

SBクラウド株式会社 技術部副部長

西澤 和正

大手SIerで防衛や大手金融セキュリティプロジェクトの現場での設計・構築経験を経て、官庁や自治体の仮想化基盤やセキュリティ基盤構築にプロジェクトマネージャやアーキテクトとして多数参画。オンプレ領域では仮想化エンジニアチームのグループ長として、プライベートクラウド、仮想デスクトップ、SDNによるネットワーク分離や自動防御システム等を提供してきた。2019年にSBクラウドに入社し、Alibaba Cloudを活用した、中国進出企業を支援するネットワーク活用、マルチクラウド対応のセキュリティ対策、データ分析基盤や仮想デスクトップ等のソリューション開発・提供をおこなっている。