出典: rdonar / Shutterstock
企業がクラウドコンピューティングの利用を数十のアプリケーションから拡大し、データセンターとエンドポイント間の接続を構築するにつれて、攻撃対象領域、すなわちクラウドエッジが拡大しています。
このエッジを保護することは困難です。セキュリティおよび運用チームは自社ネットワークのエッジでセキュリティを適用することに慣れていますが、クラウドエッジは必ずしも自分たちで管理できるものではありません。クラウドワークロード間の通信はしばしばパブリックインターネットを経由するため、データが傍受されるリスクがあり、組織の攻撃対象領域に新たな穴を開けることになると専門家は指摘しています。
ほとんどの企業は、自社のクラウドサービスに接続されているIoTデバイス、各開発者によって立ち上げられるワークロード、あるいはクラウドを通じてサービスやハードウェアにますます接続するサービスアカウントやAIエージェントの可視性を持っていません、とネットワークセキュリティベンダーAviatrixの最高情報セキュリティ責任者(CISO)であるジョン・チアン氏は述べています。
ユーザーは、エッジからクラウドへの接続が安全であり、エンドツーエンドで暗号化されていて(クラウドに到達する前に復号されないこと)、エッジデバイスが信頼できないものとして扱われていることを確認する必要があります、と彼は言います。
「攻撃者がこれらのエッジデバイスに侵入できると仮定しなければならない場合がほとんどで、もし侵入された場合、クラウド内でどの程度の被害範囲(ブラスト半径)があるのかを問う必要があります」とチアン氏は述べています。
従来、ネットワークエッジはエンドユーザーに地理的・論理的に近い組織のインフラストラクチャとして定義されてきました。しかし、インフラはますますクラウドベースとなり、企業が所有しないもの、すなわちクラウドエッジとなっています。企業は、攻撃対象領域の管理と保護のためにSASE(Secure Access Service Edge)、SD-WAN、ゼロトラストフレームワークを導入してきましたが、運用管理やパフォーマンスの課題に直面しています。
本質的に、クラウドサービスとインフラはワークステーション、デバイス、ワークロード、アプリケーションを接続し、分散した従業員が企業リソースにアクセスできるようにします。しかし、それらが安全でなければ、攻撃者がこれらのリソースを侵害する可能性があると、ゼロトラストネットワーキングプロバイダーDispersiveのテクニカルエバンジェリスト、ローレンス・ピングリー氏は述べています。
「ネットワーク全体が、クラウドからエッジロケーションまで拡張された信頼レイヤーを持つ必要があり、その場所に隔離されたエンクレーブを提供できる必要があります」と彼は言います。
パブリッククラウドでのプライベート化
Aviatrixのチアン氏によれば、アイデンティティとエンドポイント保護はセキュリティの基盤を形成する2つの重要な側面です。しかし、クラウドエッジの多くはユーザー名とパスワード、そして場合によっては二要素認証のみで資産を保護しています。さらに、クラウドに接続またはアクセス可能な多くのデバイスは軽量であり、セキュリティエージェントを実行するリソースがありません。
「実際にはエンドポイント保護がありません。なぜなら、エージェントを特定のエンドポイントにしか導入できず、一部のエッジデバイスは非常に低消費電力だからです」とチアン氏は述べています。低消費電力デバイスはしばしば軽量な暗号化に依存し、組み込みの保護機能がありません。「そのような場合、ネットワーク層での制御が重要になります」と彼は言います。
AviatrixとDispersiveはともに、デバイスの集合体や単一デバイスの周囲に制御を確立するためのマイクロセグメンテーションや、データと通信を安全に保つための暗号化に注力しています。このCloud Native Security Fabric(CSNF)により、デバイスはクラウドを通じて安全に通信でき、組織の攻撃対象領域の一部とならないとチアン氏は述べています。
「私たちはワークロード間やクラウド間の通信を見ており、その際にネットワークポリシーを適用できるようにしたいと考えています」と彼は言います。
Dispersiveも同様のアプローチを取り、すべてのワークロードやサービスユーザーを異なるエッジデバイスのインタラクションからマイクロセグメント化し、認証されていないユーザーからデバイスへの接触を不可能にしています。これをピングリー氏は「ディフレクションクラウド」と呼んでいます。
「平均的なセキュリティ企業は、提供するほぼすべてのものにオープンソース[コード]を使っています」と彼は言います。「どんな暗号方式が使われているかも分からないし、暗号化されているかどうかも分からない——ゴミのように見えるだけです。」
より良いセキュリティ、より良いパフォーマンス
これに対し、ピングリー氏はDispersiveが独自の特許技術を構築し、実際にネットワークを難読化できると述べています。クラウドエッジのデバイス間通信の方法を再設計することで、より高いセキュリティ、より多くの制御、そしてより良いパフォーマンスを実現できると彼は言います。
パフォーマンス面では、AIワークロードへの急速な移行がトラフィックパターンを変化させ、非効率を引き起こしているとピングリー氏は述べています。
「問題は、AIを使い始めるとバイナリをアップロードしたり、非常にインタラクティブなことを行うため、トラフィック自体のネットワーク上での表現方法が変わるということです」と彼は説明します。「SASEに切り替え、さらにAIを追加すると、これらすべてのトラフィックパターンがほぼ完全に逆転するのです。」
さらに、AIと量子コンピューティングの融合は将来的な大きな脅威であり、ゼロデイ脆弱性の発見を加速させ、現在の暗号化標準を破る可能性があります。企業はクラウドエッジが広大な攻撃対象領域とならないようにしなければならないとピングリー氏は警告します。
「AIと量子コンピュータがこれらの[想定される攻撃]を完全自動化で実行し、[弱い]暗号をオンデマンドで破ることができると想像してください」と彼は言います。「備えておく必要があります。事後対応では間に合いません。」
ネットワーク側でのマイクロセグメンテーションと暗号化、そしてアイデンティティとエンドポイント保護を組み合わせることで、クラウドエッジはようやくユーザーから信頼される存在となるかもしれません。
翻訳元: https://www.darkreading.com/cloud-security/cloud-edge-new-attack-surface