リソース記事

クラウドの回復力を向上させる安全なapplicationアーキテクチャの原則

クラウドに移行するアプリが増えるにつれて、安全なアプリケーション アーキテクチャがこれまで以上に重要になります。 環境内で安全なクラウドの回復力を促進するのに役立つ 3 つのクラウド アーキテクチャの原則を学習します。

安全なクラウド アーキテクチャ: 回復力のあるアプリの基盤

企業がアプリケーションをクラウドに移行する理由は、コスト削減、導入の迅速化、回復力の向上、弾力性の向上など、数多くあります。 これを踏まえて、あらゆる企業が、自社のポートフォリオに含まれる多数の非常に多様なアプリ(通常、MS Exchange、SAP など)とカスタムの社内applicationsのフルレンジが含まれます)に最適な方法として、マルチクラウド展開を採用しています。

クラウドにアプリを展開する際には重要な考慮事項が多数ありますが、最も重要な 2 つはセキュリティと柔軟性です。 結局のところ、これらの考慮事項は密接に関連しています。 特に複数のクラウド ロケーションに分散されている Webapplicationsを保護する機能は、最初からアーキテクチャに組み込むことができ、実際、組み込む必要があります。 そうすることで、すべてのapplicationsにわたって一貫したセキュリティ ポリシーを維持し、ユーザー (従業員、パートナー、顧客、またはこれらすべて) がスムーズなエクスペリエンスを享受できるようになります。 この一貫性により、ある程度の運用上の柔軟性と回復力も生まれ、予期しない課題に迅速に対応したり、新しい機会を活用するために方向転換したりすることがはるかに容易になります。

クラウド アーキテクチャの原則

John Wagnon が最近のLightboard Lessonで指摘しているように、クラウド ユーザーは自分の責任が実際にどこにあるのかを知る必要があります。 「一般的に、クラウドオペレーターはクラウドセキュリティに責任を負い、ユーザーはクラウド内のセキュリティに責任を負います」と彼は言います。 残念ながら、この概念化では多くのセキュリティ上の懸念が解決されません。 アプリを安全に保つには、これらのギャップを埋める必要があります。

組織のアプリの安全性と回復力を維持するための計画を立てる際には、一貫性、制御性、俊敏性という 3 つの機能を最優先に考慮する必要があります。 私たちが推奨するアプローチは空港のセキュリティに似ています。 各航空会社に独自のセキュリティチェックを要求する代わりに、旅行者は統合されたチェックポイントで検査され、その後ゲートに進む許可を得ます。 同様に、安全なクラウド アーキテクチャでは、特定のアプリへのアクセスを許可する前に、すべてのトラフィックを均一なセキュリティ仮想プライベート クラウド (VPC) に渡すことができます。また、ゲート エージェントが搭乗前に座席を再割り当てしたり、旅行者のチケットを確認したりできるのと同様に、各アプリに追加のセキュリティ機能や機能を付与することができます。

このようなシナリオでは、セキュリティ VPC は、負荷分散、WAF (およびその他のファイアウォール)、アクセス管理、認証情報の暗号化、SSL 検査、DDoS およびボット保護、API 管理、パフォーマンス管理など、多くの重要な (多くの場合、リソースを大量に消費する) 機能を担うことになります。

Security VPC 内のサービスは相互に簡単に通信できるため、さらなるメリットが生まれます。 たとえば、WAF が攻撃を阻止すると、アクセス制御サービスに通知して、攻撃者をブロックするようにすることができます。

Security VPC 内のすべての要素間で通信する機能により、効果的なマルチベンダー検査が可能になり、McAfee、FireEye、Palo Alto Networks などの検査ツールを導入している組織の摩擦や冗長性を排除できます。 SSL 検査のために暗号化されていないトラフィックは、さらに検査するために検査ツールに渡すことができます。 これは、各ツールで同じトラフィックを暗号化解除、検査、再暗号化するよりも効率的です。

安全なクラウド アーキテクチャを作成するこのアプローチにより、アプリ開発者は高い俊敏性とスケーラビリティを実現でき、摩擦が軽減され、チーム間のコラボレーションが向上します。 ベースライン標準は Security VPC に導入されており、最小限の更新で済みます。 開発者は、基本的なセキュリティについては Security VPC を活用しながら、必要に応じてアプリ レベルでセキュリティを強化できます。 同様に、ネットワーク管理者は各環境 (開発、テスト、本番) のセキュリティ サービスを定義できます。 開発者がセキュリティ機能が事前に定義されていないアプリを起動すると、VPC レベルで定義された基本的なカバレッジが提供されます。

すべてをまとめる

コードから顧客にアプリを提供することは、これまで以上に複雑です。 すべての環境とマルチクラウド アーキテクチャ全体でセキュリティを確保しながら、プロセスを簡素化するための手順があります。 まず、すべてのapplicationトラフィックに対して適切なエントリ ポイントを確立し、そのポイントを通じてベースライン レベルのセキュリティとトラフィック管理を提供します。 そこから、applicationレベルで追加のセキュリティ サービスを柔軟に定義できます。 この 2 段階のアプローチにより、一貫性、制御性、俊敏性を維持しながら信頼性の高いセキュリティが実現します。

関連コンテンツ
電子書籍

安全なクラウドアーキテクチャ

一般的な妥協を排したスピード。適切なクラウド アーキテクチャにより、スピードが手に入ります。

もっと詳しく知る >

ライトボードレッスン

ライトボードレッスン: 安全なクラウドアーキテクチャ

すべてのapplicationsにわたって一貫したセキュリティ ポリシーを維持できる安全なクラウド アーキテクチャを構築する方法を学びます。

レッスンを読む ›

ウェビナー

チーム間のコラボレーションと自動化により、コードから顧客への提供までの時間を短縮

セキュリティを犠牲にすることなく開発パイプラインを高速化します。

ウェビナーを見る ›

安全

SSL オーケストレーター

複数の検査デバイスを介した動的なポリシーベースの復号化、暗号化、トラフィック ステアリングにより、インフラストラクチャへの投資、効率、セキュリティを最大化します。

もっと詳しく知る >