かつてのエンタープライズ アーキテクチャは物理的で単一的なものであり、便宜上一か所に配置されていたため、簡単に管理してセキュリティを確保することができました。
現在、その状況は逆転しており、デジタル化の加速に伴い、組織はかつてない速さでの移行を余儀なくされています。俊敏な手法とDevOpsプラクティスを採用している組織は、環境、アプリケーション スタック、導入を最新化しており、これまではモノリシックだったアプリケーションをマイクロサービス アーキテクチャに分解し、ルーチン タスクを自動化し、コンテナ管理にKubernetes(k8s)を採用し、俊敏なサービス提供を実現するパブリック クラウドに移行しています。
これによって組織やエンドユーザーの利便性が大幅に向上した一方で、重大なセキュリティ上の問題がいくつか発生しました。
この急速な変化の中で、セキュリティはその流れにほぼ乗り遅れています。セキュリティ情報を取り入れずにDevOpsを実装して配布しているケースが多いため、問題が発生するたびにIT部門がパッチを適用しなければならず、中には問題の発生後にパッチを適用した例もあります。
では、セキュリティ技術者の負担を軽減しながら、ユーザーとの摩擦を起こさずに侵入を防ぐ最善策とは何でしょうか。
仮想化環境への分散化によるセキュリティのニーズは、多くの点で組織を混乱させました。従来の一元的なセキュリティ管理から離れるほど、既存の分散管理では不十分になってきたのです。
一元化された環境は一般に知られており、数値化されていたため、セキュリティ管理、操作、レポート、アラートの均一化は比較的簡単に実現できました。しかし、莫大な投資、蓄積された知的財産、移行コストの高さといった理由から、導入した技術に対する変更は頻繁に行われませんでした。
複数の新しい環境をサポートすることにより、成熟度や能力の欠如、完全に異なるクラウド環境、多岐にわたる技術、不明瞭な運用、見通しの悪さ、レポート作成の難しさ、成熟度の低さといった多くの課題や検討事項が浮き彫りになりました。
これらの課題に対応するため、パブリック クラウドのベンダーは、テナントと間のすべてのトラフィックが通過する中央制御ポイントであるトランジット ゲートウェイを開発しました。
クラウド、テナント、データ センターにアプリケーションが分散している最新の環境では、個々のアプリケーションにセキュリティ機能を持たせることは非常に意味のあることです。これによって本質的なセキュリティが実現します。つまり、セキュリティ対策を忘れたり、外したり、回避したりできません。また、必要なときに必要な場所でセキュリティを確保し、アプリケーションの使用停止時にセキュリティを解除できるということでもあります。
また、このモデルでは、すべてのライフサイクル段階とすべての環境にセキュリティを導入するということにおいて、セキュリティを「シフト レフト」する機会があります。つまり、導入時と実行時または稼働準備段階と稼働時に初めてセキュリティ管理が必要になるわけではありません。
セキュリティ チームは、組織にセキュリティを押し付けるのではなく、組織にセキュリティへの意識を向けさせることで、「office of no」(ノーを突きつける役割)から脱却したいと考えています。これを実現する最善策は、DevOpsチームが自分たちのニーズに合った方法でセキュリティを利用できるようにすることだと私たちは考えています。これは、アプリケーションやプログラムの後ではなく、最初の段階からセキュリティを実装して使用することを意味します。
これはセキュリティの「シフト レフト」と呼ばれるもので、開発ライフサイクルの早期にセキュリティ管理(脅威のモデリング、アプリケーションの静的セキュリティ試験、ソフトウェア構成の分析など)を実施し、開発環境やテスト環境において、後の段階のセキュリティ管理(Webアプリケーション ファイアウォール、アプリケーションの動的セキュリティ テストなど)を初期段階の環境で利用できるようにすることを意味します。
もちろん、分散型セキュリティにはさまざまな課題があります。これまで、分散型セキュリティの実現には、環境ごとに異なるテクノロジ、スタック、および管理策が必要でした。これでは、環境の多様性が高まるにつれてスケールのメリットは得られなくなり、新たな異種環境や管理策をサポートすることが急激に難しくなります。
さらに、異なる環境間でのセキュリティの一貫性が維持されず、問題が発生する可能性があることも意味します。間違いなく重要なことは、環境ごとにアラート、レポート作成、ロギングが異なるため、環境の管理や予測が非常に難しくなるということです。
理想的な世界、つまり複数のユーザー、アプリケーション、クラウドが存在する分散型の環境では、セキュリティはどのように機能するのでしょうか?
その答えは、必要な場所に配備できる統一されたスタックです。このスタックはスモール フォーム ファクタで、最新の環境に適しており、迅速な導入と使用停止に対応し、さらには、成熟したエンタープライズ グレードの包括的なセキュリティ管理も含まれるものになるでしょう。
ポリシーを一度定義してからグローバルに展開するための集中管理ポイントもあります。ポリシーの定義は柔軟なものとなり、ネットワーク、アイデンティティ、セキュリティ、アプリケーションが定義されます。また、集中管理ポイントでは、一元的で統一された可視性、ロギング、レポート作成が実現します。
また、ソリューション全体が100% API駆動型となり、開発、セキュリティ、運用の各チームは業務のペースに合わせて共同で作業できるようになります。
F5はこのようなビジョンの実現をお手伝いします。詳細をご確認ください。