より効果的なクラウドセキュリティのアプローチ:インライン CASB 用 NGFW
クラウド・アプリケーションは組織のビジネス方法を変え、その過程で新たなセキュリティ・リスクをもたらしました。これらのアプリケーションはセットアップが簡単で、コラボレーションに利用しやすく、その結果、これらのクラウド環境で転送、保存、共有されるデータの量と機密性は増加の一途をたどっています。同時に、ユーザーは常に物理的に異なる場所に移動し、必要なデータにアクセスするために複数のデバイス、オペレーティングシステム、アプリケーションのバージョンを使用しています。
これらは、仕事の習慣やテクノロジーにおける大きなシフトであり、従来のセキュリティツールでは対応しきれませんでした。このようなセキュリティ・ギャップに対処しようとする動きが、クラウド・アクセス・セキュリティ・ブローカー(CASB)のカテゴリーを含む、新しいテクノロジーや表現方法を生み出しました。
Gartnerによると、「CASBはオンプレミスまたはクラウドベースのセキュリティ・ポリシー実施ポイントで、クラウド・サービスの利用者とクラウド・サービス・プロバイダーの間に配置され、クラウド・ベースのリソースにアクセスする際に企業のセキュリティ・ポリシーを組み合わせて注入します。CASBは、複数の種類のセキュリティ・ポリシーの実施を統合します。"
CASBは、組織に 3つの主要なSaaSセキュリティ機能 を提供し、その結果、急速な進化と普及が見られました:(1) SaaSの利用状況の可視化、(2) SaaSへのアクセスのきめ細かな制御、(3) クラウドベースのデータのコンプライアンスとセキュリティ。CASBがその機能を提供できるデプロイメントモードには、インラインモードとAPIモードがあります。以下では、これらについてもう少し詳しく説明するとともに、よりシンプルで効果的なアプローチを紹介します:インラインCASB用のNGFW。
CASBのニーズへの対応
CASBが誕生した当時の定義では、「ブローカー」という言葉が使われ、CASBがクラウドトラフィックの経路上にあることを意味していました。それ以来、CASBテクノロジーは進化し、現在ではインラインとAPIモードという2つの主要コンポーネントがあります。この2つのモードを簡単に見てみましょう。
インラインCASB
インラインCASBはさらに、フォワードプロキシとリバースプロキシの2つのモードに分けることができます。フォワードプロキシでは、CASBベンダーはアプリの可視化と制御機能を提供できるアプライアンスやサービスにクラウドトラフィックを転送する必要があります。また、フォワードプロキシ機能は、プロキシだけに限定されるものではないことにも注意が必要です。NGFWアプライアンスまたはサービスを使用して、強力な次世代アプリ制御機能を強制することもできます。これは、多くの顧客がオンプレミスまたはリモートユーザー用のインターネットゲートウェイとしてNGFWをすでにデプロイしているため、複数の理由から理想的です。顧客が真のプロキシ(ほとんどのCASBベンダーが提供)を使用することを好む場合、多くの場合、追加の管理オーバーヘッドと複雑さが発生します。既存のNGFWが、追加コストなしにインラインCASBのニーズをすでに解決しているかどうかを検討することは、顧客にとって重要です。リバースプロキシの場合、CASBベンダーはSSO(場合によってはDNS)を使用してユーザをインラインのCASBサービスにリルートし、ポリシーが確実に実行されるようにします。
APIベースのCASB
APIベースのアプローチにより、CASBベンダーはクラウドトラフィックの「間に入る」ことなく、クラウドアプリケーション内で顧客のデータにアクセスすることができます。これは、クラウドアプリケーションやサービス内のすべての静止データに対するきめ細かなデータセキュリティ検査、ユーザーアクティビティや管理設定の継続的な監視など、いくつかの機能を実行するための帯域外のアプローチです。APIは非侵入型であり、クラウドアプリケーションへのデータパスを妨げないため、クラウドアプリケーションのユーザーエクスペリエンスは維持されます。将来の違反に対するポリシー適用に加え、APIベースのCASBは、クラウドに保存された既存のデータをクロールし、DLP違反や脅威を修復する唯一の方法です。これは特に重要で、企業はアプリを保護する方法を理解する前にアプリを「認可」することになり、ほとんどの場合、調査する必要がある既存のコンテンツが存在します。APIベースのCASBについては、次回のブログ記事で詳しく説明します。
もっとシンプルな方法があります:インラインCASB用NGFW
次世代ファイアウォール ファイアウォール内のユーザー、コンテンツ、アプリケーションの検査機能を組み合わせ、CASB 機能を実現します。この検査技術は、ユーザーとアプリケーションをマッピングし、場所やデバイスに関係なく、クラウド・アプリケーションの利用をきめ細かく制御することができます。NGFW内のCASBに関連する機能には、きめ細かなアプリ制御(SaaSおよびオンプレミスアプリを含む)、アプリ固有の機能制御、URLおよびコンテンツフィルタリング、アプリケーションリスクに基づくポリシー、DLP、ユーザーベースのポリシー、既知および未知のマルウェア予防などがあります。
NGFWベースのアプローチを選択するお客様は、以下のシナリオの1つまたは組み合わせを使用して、デプロイメントを柔軟に行う必要があります:
- アプライアンスとしてのNGFW: 既に導入されている物理アプライアンスを超えて、 仮想ファイアウォール はクラウド上でゲートウェイとして機能し、リモートユーザーのグローバルカバレッジを最大限に確保できるため、ハードウェアを追加デプロイするオーバーヘッドが不要になります。ほとんどのお客様は、オンプレミスユーザー向けにこのコンポーネントをすでにデプロイしています。
- NGFWas a cloud service: このシナリオでは、マルチテナント型のクラウドベースのセキュリティインフラストラクチャは、セキュリティベンダーが管理・保守する必要があります。たとえば、Palo Alto Networks Prisma™ Access(旧 GlobalProtect™ クラウドサービス) では、Palo Alto Networks Next-Generation Security Platform の予防機能を活用して、リモートネットワークやモバイルユーザーのセキュリティを確保することができます。このサービスは、既存のNGFWデプロイメントを単純に拡張するだけで、SaaSベースかどうかにかかわらず、すべてのアプリケーションで機密データの流出を防止することができます。お客様は、グローバルなデプロイメントを管理する複雑さとコストを削減し、クラウド環境全体で一貫した保護を得ることができます。
さらに、NGFW、脅威インテリジェンスクラウド、APIベースのSaaSセキュリティサービス、高度なエンドポイントプロテクションを含む、統合された防御優先の次世代セキュリティプラットフォームの一部としてインラインNGFWのアプローチを使用することで、クラウドアプリケーションからのデータ漏えいを防止し、許可されたアプリケーションと許可されていないアプリケーションの使用を制御することで脅威防御の機会を減らし、許可されたトラフィック内で既知および未知の脅威を防止し、クラウドアプリケーションの採用がコンプライアンスを維持できるようになります。
次世代CASBは、一般的なCASBよりも低い総所有コストで完全なクラウド保護を提供します。
詳しくは、以下の資料をご覧ください:
