企業がデジタルトランスフォーメーション・プロジェクトを本格化させるにつれ、クラウドネイティブ・アプリケーションの開発が急増しています。これにより、クラウドネイティブ・コンテナやプラットフォームを用いて展開されるデジタルワークロードが増加していますが、アプリケーションのクラウド依存度が高まるにつれ、重要な課題も生じています。クラウドネイティブ・アプリケーション・プラットフォームTigeraが水曜日に発表したレポートでは、こうした課題のいくつかを検証し、その管理方法に関するヒントを提供しています。
Tigeraのクラウドネイティブセキュリティの現状レポートは、世界中のセキュリティおよびITプロフェッショナル304名を対象とした調査に基づいています。回答者は様々な業界で様々な役割を担っていますが、全員がコンテナの運用に直接携わっています。
調査対象者の75%は、自社の新規開発の取り組みの大部分をクラウドネイティブアプリケーションに集中させていると回答しました。しかし、クラウドの動的かつ一時的な性質を考慮すると、この取り組みにはいくつかの課題があることも認識していました。
回答者の約96%が、クラウドネイティブ・アプリケーションにおける最も困難な側面として、セキュリティ、コンプライアンス、可観測性を上位3つに挙げました。コンテナセキュリティは68%が最大の課題として挙げ、次いでネットワークセキュリティが60%でした。コンプライアンスは57%が最大の課題と回答し、可観測性は39%が挙げました。
これらの課題は、多くの組織においてクラウドネイティブアプリケーションの導入を遅らせる原因となっています。導入における最大の障害について尋ねたところ、67%がセキュリティ要件、56%がコンプライアンス要件、44%が自動化の欠如を挙げました。
回答者は、クラウドネイティブ・アプリケーションに伴うセキュリティ問題に対処するために、アプリケーションの攻撃対象領域を縮小し、脅威を迅速に特定する必要があると述べています。その実現に向けて、コンテナレベルのファイアウォール、ワークロード・アクセス制御、マイクロセグメンテーション、インフラストラクチャ権限管理など、役立つツールが数多く挙げられています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ITおよびセキュリティ担当者は、クラウドネイティブアプリケーションに対する必要な可視性を欠いていることが多いため、可観測性は主要な課題の一つとして挙げられています。可観測性に関する最も大きな問題点を尋ねたところ、51%が実用的な洞察の欠如、つまり問題の根本原因や解決策の推奨事項を確認できないことを挙げました。また、約43%がマイクロサービスへの可視性の欠如、つまりアプリケーション間の相互作用や依存関係を確認できないことを指摘しました。
クラウドネイティブ・アプリケーションに関するより深い洞察を得るために、回答者は特定のツールとテクノロジーの必要性を表明しました。約76%が、動作やインタラクションを可視化・理解するために、環境のランタイム可視化が必要だと回答しました。約57%はパフォーマンスのホットスポットを検出したいと考えており、47%は動的パケットをキャプチャする手段を必要としています。
クラウドネイティブアプリケーションを保護する方法
クラウド ネイティブ アプリケーションをセキュリティの脅威やその他の問題からより安全に保護するために、Tigera はいくつかの重要な推奨事項を提供しています。
ゼロトラストを導入して攻撃対象領域を縮小しましょう。最初のステップは、ゼロトラスト環境を実装し、異なるクラウドベースのワークロード間のデータフローを保護することです。そのためには、DNSポリシー、ネットワークセット、その他のリソースに対して、よりきめ細かな制御を設定する必要があります。また、マイクロセグメンテーションを活用して、アプリケーション層、コンプライアンス要件、ユーザーアクセスに基づいてワークロードを分離することも重要です。
既知および未知の脆弱性とマルウェアをスキャンします。クラウドベースのワークロードを外部の脅威や攻撃者によるラテラルムーブメントから保護することが目標です。そのためには、アプリケーションレベルのセキュリティとWebアプリケーションファイアウォールが必要です。以下の機能を備えたツールを選択してください。
- 脅威フィードを分析し、カスタム脅威フィードを作成できるようにします。
- 受信トラフィックと送信トラフィックを監視します。
- 機械学習を使用してゼロデイ脅威を検出します。
- ワークロードベースのパケット検査を提供し、ネットワーク データを詳細に調べます。
- シグネチャベースの検出を使用して潜在的な脅威を追跡します。
- 高度な異常検出機能を提供し、未知の攻撃からの脅威を認識、分離、修復します。
露出によるリスクを軽減します。侵害に対処する最善の方法は、脅威に動的に対応することです。そのためには、環境をランタイムで可視化し、不審な動作を監視し、接続の問題をトラブルシューティングし、パフォーマンスの問題を発見できるツールが必要です。このようなツールには、以下の機能が必要です。
- 重要なワークロードの周囲にセキュリティの堀を作成し、リスクを軽減できます。
- ゼロデイ攻撃に対抗するためにハニーポッドを展開できるようにします。
- 疑わしい、悪意のある可能性のあるワークロードを自動的に隔離します。
- アラートをカスタマイズして、脅威を自動的に修復できます。
