このアップデートは、クラウド環境全体のリスク信号を集約し、CISOが単一のセキュリティプラットフォームを通じて脅威を管理するのに役立つ、統一された運用レイヤーを導入します。
Amazon Web Servicesは、複数のクラウド環境全体のリスク信号を集約できる、一元化されたセキュリティ運用プラットフォームとして機能するようにAWS Security Hubを拡張しています。
更新されたSecurity Hubで、同社はセキュリティチームにほぼリアルタイムのリスク分析、自動分析、および優先度付けされたインサイトを提供する統一運用レイヤーを導入すると述べています。
エンタープライズワークロードが複数のクラウドプロバイダー全体に分散されるにつれて、Security Hubの拡張は、CISOが直面する複雑さの増加に対応し、ツール管理よりもリスク管理に焦点を当てるのに役立つことを目的としていると、同社はブログ投稿で述べています。
再考されたAWS Security Hub
セキュリティチームが複数のツールを管理するのに苦労しているため、拡張されたSecurity Hubは、エンタープライズワークロード全体のセキュリティ信号を統一するように設計された共通データレイヤーを導入します。その後、セキュリティチームに断片化されたコンソールのコレクションではなく、リスクの単一ビューを提供します。
セキュリティチームは、Security Hub CSPMチェックを使用してクラウドセキュリティ態勢を管理することもできます。これは態勢の可視性を提供し、仮想マシンスキャン、コンテナイメージスキャン、およびサーバーレスワークロードスキャンを含む拡張されたAmazon Inspectorの機能を通じて脆弱性管理を拡張します。同社は述べています。
Security Hubはもともとより狭い役割を果たしていました。しかし昨年12月、AWSはセキュリティサービスからの信号を単一インターフェースに集約して、脅威、脆弱性、設定ミス、および機密データの露出を自動的に分析しました。このサービスのリストにはAmazon GuardDuty、Inspector、Security Hub Cloud Security Posture Management、およびAmazon Macieが含まれています。
最新の多クラウド拡張は、その基盤に加えて、企業が第三者のセキュリティツールを事前にネゴシエートされた従量課金方式で直接Security Hubを通じてデプロイおよび管理でき、長期的なコミットメントなしにAWS Security Hub Extendedの以前のAWSの立ち上げに基づいています。
キュレーションされたポートフォリオには、CrowdStrike、Okta、Proofpoint、SailPoint、Splunk、およびZscalerなどのベンダーが含まれており、組織はAWS環境を超えてセキュリティの可視性を拡張できます。
クラウド間セキュリティ監視
AWSはネイティブ環境外の脆弱性を識別する方法に関する技術的な詳細を提供していませんが、Greyhound ResearchのチーフアナリストであるSanchit Vir Gogiaは、多クラウド可視性は通常、複数のセキュリティシステムからの信号を収集し、一緒に分析できるように一貫した形式に変換することで機能すると述べています。
このアプローチの重要な実現者はOpen Cybersecurity Schema Frameworkであり、セキュリティイベントと脆弱性を表すための共通構造を定義しています。
「AWS外の外部環境の監視に関しては、Security Hubは統合と標準化されたテレメトリに依存する可能性があります。ほとんどの多クラウドセキュリティソリューションは、他のクラウドベンダー、セキュリティプラットフォーム、およびエンタープライズ監視ツールからAPIを介してデータを取得します」と、Primus PartnersのCo-FounderおよびCEOであるDevroop Dharは説明しています。
「たとえば、Security Hubは脆弱性管理プラットフォーム、エンドポイントセキュリティツール、アイデンティティシステム、および構成管理ソリューションからデータを取り込みます。AWSは堅牢なパートナーエコシステムを持っているため、既存のセキュリティテクノロジーとの統合は重要な要因になる可能性があります」とDharは付け加えています。
Gogiaは、Security Hubがインターネットから到達可能なアセットを分析し、露出パスに関するコンテキストを追加できることに注意しました。この技術は、インターネット露出がインフラストラクチャのホストがどこにあるかに関係なく外部から観察できるため、インフラストラクチャの境界全体で機能します。
「ワークロードが外部から見える場合、リスクはどのクラウドがそれをホストしているかに関係なく存在します」と彼は述べています。
運用セキュリティへの影響
CSOとセキュリティリーダーにとって、AWS Security Hubの拡張はエンタープライズセキュリティ運用の広い転換を反映しています。セキュリティ信号を統一されたソリューションに集約することで、セキュリティチームが脅威を相関させ、リスクを優先順位付けし、分散環境全体でインシデント対応を合理化するのに役立つ可能性があります。
「企業がワークロードに複数のクラウドとハイブリッド環境を使用すると、さまざまなダッシュボードとログの間で常に切り替えが行われます。すべてのクラウド全体のすべてのリスクの中央ビューを持つことは、運用コストを削減するのに役立つため、非常に望ましいです。このアイデアは、可視性を持つだけでなく、どの脆弱性が組織に最も高いレベルのリスクを表しているかを理解することです」とDharは付け加えています。
Gogiaは、複数のクラウド環境の管理もアラート疲労に貢献していることに注意しました。これは現代的なセキュリティオペレーションセンターの特徴の1つになっています。チームは膨大な量のアラートを処理する一方で、それらを徹底的に調査するためのリソースが限られています。複数のソースからのテレメトリを単一の運用ビューに組み合わせるソリューションは、その摩擦を減らすのに役立つ可能性があります。
ただし、一元化の考えは魅力的ですが、実践的な考慮事項もあります。
可視性は、その背後にある統合と同じくらい強力です。一部のワークロードまたはツールが適切に統合されていない場合、完全性の誤った感覚を生成できます。
セキュリティチームがテレメトリを解釈し、応答を調整するために単一のインターフェースに依存する場合、そのインターフェースの可用性も重要になります。
「組織は、プライマリコンソールが利用不可になった場合でも、テレメトリにアクセスしてインシデントに応答できることを確認する必要があります。代替アクセスパスと独立したテレメトリパイプラインを維持することは、堅牢なセキュリティアーキテクチャの重要な部分になります」とGogiaは付け加えています。
Dharは、数十のツールを単一のソリューションに統合することは必ずしも簡単ではないことに注意しました。CISOはまた、ベンダーロックインのリスクも比較検討します。セキュリティワークフローが1つのベンダーのプラットフォームに密接に結びついている場合、後で遠ざかるのが難しくなる可能性があります。
また、この動きは、複数の機能を単一の運用レイヤーの下に組み込む統合されたセキュリティソリューションへの広い業界トレンドを反映しています。エンタープライズ環境がより複雑になるにつれて、ベンダーは脅威検出、態勢管理、および脆弱性分析をますます統一されたセキュリティアーキテクチャに組み合わせています。
「この業界は数年間、純粋なセキュリティベンダーからの多クラウド機能を見てきました。Microsoft Defender for CloudとGoogle Cloud Security Command Centerも、ネイティブクラウド環境を超えて到達を拡張しています」と、Ankura Consultingのグローバルパートナー/シニアマネージングディレクター – インドであるAmit Jajuは述べています。
