ゼロトラストとSASEが連携して機能するしくみ

パブリック クラウド ファイアウォールとは、パブリック クラウドに導入される仮想ネットワーク セキュリティのデバイスです。一般的に、パブリック クラウド ファイアウォールはハードウェア ファイアウォールと同様の機能を提供する傾向があります。ただし、ハイブリッド クラウドの実装では、パブリック クラウド ファイアウォールは可用性と拡張性の面でオンプレミスよりも多くの利点があります。「仮想ファイアウォール」とも呼ばれるこのデバイスは、このような環境で使用される場合に「パブリック クラウド ファイアウォール」と呼ばれます。

パブリック クラウド ファイアウォールの必要性

クラウドベースのアプリケーションに対するセキュリティは、顧客とクラウド サービス プロバイダ(CSP)の共有の責任です。CSPは、自社のサービスを実行するインフラ(ハードウェア、ソフトウェア、ネットワーキング、設備など)を保護します。一方、プロバイダのインフラ上にあるオペレーティング システム、プラットフォーム、アクセス制御、データ、知的財産、ソース コード、顧客向けコンテンツのセキュリティについては、サービスを使用する企業が責任を負うことになります(図1を参照)。多くのCSPではオプション サービスとしてファイアウォールを提供していますが、ファイアウォール ポリシーの設定や脅威の監視における責任はユーザーにあります。


図1: クラウドベースの環境における共有セキュリティ モデル

各企業では、既存のアプリケーションをデータセンターからクラウドに移行する際、クラウド上の資産を保護するためにオンプレミス ファイアウォールを使用し続けることがよくあります。この構成は、慣れ親しんだものであり、効果が実証されているという利点もありますが、拡張が難しく、コストもかかります。ハードウェアやソフトウェアに多額の投資を必要とし、オンプレミス機器の設置、保守、アップグレードにも費用がかかるためです。また、多くの企業では、ファイアウォールの高可用性を確保する上で必要な、冗長性への投資には消極的です。さらにグローバル組織では、自社のセキュリティを世界中に分散されたアプリケーションにまで拡張するのは非現実的だと考えています。

パブリック クラウド ファイアウォールの利点

パブリック クラウド ファイアウォールは、オンプレミスのファイアウォールの限界にも対処できます。CSPのインフラ上で動作するこれらの仮想ファイアウォールは、CSPが投資した冗長電源や暖房、換気、空調(HVAC)、そしてサイト障害発生時のデータ損失を防ぐためのネットワーク サービスや自動バックアップ システムを活用するため、高い可用性を備えています。 

パブリック クラウド ファイアウォールは、企業でのクラウドの比重の高まるにつれ、ハードウェアの設置や維持は不要となり、仮想インスタンスを追加するだけでスムーズに拡張できます。

パブリック クラウド ファイアウォールは、オンプレミスのファイアウォールとは異なり、保護する資産に近接して配置されます。この構成により、地域からデータセンターにトラフィックを戻す際に消費される帯域幅の無駄を回避でき、CSPが地域の境界をまたぐトラフィックに課している料金も削減または回避できる可能性があります。ほとんどの主要CSPには相互接続契約があり、その境界も障壁とはなりません。

パブリック クラウド ファイアウォールの仕組み

パブリック クラウド ファイアウォールは、オンプレミス型と同様に、アプリケーションを識別、制御し、ユーザーベースのポリシーを通じてアクセス許可し、既知および未知の脅威がネットワーク境界に侵入するのを防ぎます。パブリック クラウド ファイアウォールは、マルチクラウド環境全体におけるアプリケーションの可視性を提供し、企業がより適切な情報に基づいてセキュリティ ポリシーや手順を決定するのに役立ちます。また、自動化と集中管理によって、開発者は次世代セキュリティをアプリケーション開発ライフサイクルに組み込むことができ、クラウド ネイティブな開発戦略や継続的インテグレーション、継続的デリバリー(CI/CD)などのDevOps原則に対応したセキュリティ機能を確保することができます。 

高度な脅威は巧妙さを増しており、境界の侵害は避けられないものとなっています。今日のサイバー脅威は、個々のワークステーションやユーザーを侵害した後、ネットワーク上を横方向に移動し、その間にアクセス権限を取得し、ミッションクリティカルなアプリケーションやデータがどこにあっても危険にさらします。最先端のパブリック クラウド ファイアウォールでは、重要なアプリケーションやデータを安全なセグメントに分離して脅威の横方向の移動をブロックし、法令順守を合理化する、セグメンテーションおよびマイクロセグメンテーション戦略をサポートしています。

パブリック クラウド ファイアウォールは、通信事業者のソリューションと切れ目なく連携するよう設計されると、最も効果的に機能します。企業にとってのベスト プラクティスは、利用予定のCSPと共同でソリューションを開発しているサイバーセキュリティ ベンダーから、パブリック クラウド ファイアウォールを調達することです。

使用例

ここまで解説したように、パブリック クラウド ファイアウォールは汎用性に優れています。以下に、一般的な使用例をいくつか示します。 

  • 最重要なアプリケーションとデータの保護: パブリック クラウド ファイアウォールは、アクセス制御手段として、ゼロトラストの原則に基づいて重要なアプリケーションやデータを安全なセグメントに分離します。ゾーンベース ポリシーのアーキテクチャでは、アプリケーションやユーザーに基づいたアクセス制御ポリシーを構築し、仮想マシン間のEast-Westトラフィックを保護することができます。
  • 支社へのセキュリティの拡張: 企業は、セキュリティを支社まで拡張するため、パブリック クラウド ファイアウォールを導入しています。前述のように、仮想であるパブリック クラウド ファイアウォールは、世界中ほぼどこにでも展開でき、グローバル企業にとっては特に魅力的な特性を備えています。
  • ソフトウェア定義型環境の保護: パブリック クラウド ファイアウォールは、ソフトウェア定義型ネットワークや広域ネットワーク(SDNやSD-WAN)などのソフトウェア定義型環境を保護します。企業は全社的に一貫したネットワーク セキュリティを実現でき、POSシステムや他の重要なシステムを分離し、SD-WANのトラフィックを保護することができます。
  • プライベート クラウド上の資産の保護: パブリック クラウド ファイアウォールは、単一の組織が使用するオンデマンドのコンピューティング環境であるプライベート クラウドのセキュリティ ニーズにも対応しています。このような環境では、仮想ファイアウォールを使用することで、高度に仮想化された環境への投資を最大限に活用し、時間のかかる手動プロビジョニングを減らすことができます。

パブリック クラウド ファイアウォールの詳細については、弊社のWebサイトをご覧ください。