企業がアプリケーションをクラウドに移行する理由は、コスト削減、導入の迅速化、回復力の向上、弾力性の向上など、数多くあります。 これを踏まえて、あらゆる企業が、自社のポートフォリオに含まれる多数の非常に多様なアプリ(通常、MS Exchange、SAP など)とカスタムの社内applicationsのフルレンジが含まれます)に最適な方法として、マルチクラウド展開を採用しています。
クラウドにアプリを展開する際には重要な考慮事項が多数ありますが、最も重要な 2 つはセキュリティと柔軟性です。 結局のところ、これらの考慮事項は密接に関連しています。 特に複数のクラウド ロケーションに分散されている Webapplicationsを保護する機能は、最初からアーキテクチャに組み込むことができ、実際、組み込む必要があります。 そうすることで、すべてのapplicationsにわたって一貫したセキュリティ ポリシーを維持し、ユーザー (従業員、パートナー、顧客、またはこれらすべて) がスムーズなエクスペリエンスを享受できるようになります。 この一貫性により、ある程度の運用上の柔軟性と回復力も生まれ、予期しない課題に迅速に対応したり、新しい機会を活用するために方向転換したりすることがはるかに容易になります。
John Wagnon が最近のLightboard Lessonで指摘しているように、クラウド ユーザーは自分の責任が実際にどこにあるのかを知る必要があります。 「一般的に、クラウドオペレーターはクラウドのセキュリティに責任を負い、ユーザーはクラウド内のセキュリティに責任を負います」と彼は言います。 残念ながら、この概念化では多くのセキュリティ上の懸念が解決されません。 アプリを安全に保つには、これらのギャップを埋める必要があります。
組織のアプリの安全性と回復力を維持するための計画を立てる際には、一貫性、制御性、俊敏性という 3 つの機能を最優先に考慮する必要があります。 私たちが推奨するアプローチは空港のセキュリティに似ています。 各航空会社に独自のセキュリティチェックを要求する代わりに、旅行者は統合されたチェックポイントで検査され、その後ゲートに進む許可を得ます。 同様に、安全なクラウド アーキテクチャでは、特定のアプリへのアクセスを許可する前に、すべてのトラフィックを均一なセキュリティ仮想プライベート クラウド (VPC) に渡すことができます。また、ゲート エージェントが搭乗前に座席を再割り当てしたり、旅行者のチケットを確認したりできるのと同様に、各アプリに追加のセキュリティ機能や機能を付与することができます。
このようなシナリオでは、セキュリティ VPC は、負荷分散、WAF (およびその他のファイアウォール)、アクセス管理、認証情報の暗号化、SSL 検査、DDoS およびボット保護、API 管理、パフォーマンス管理など、多くの重要な (多くの場合、リソースを大量に消費する) 機能を担うことになります。
Security VPC 内のサービスは相互に簡単に通信できるため、さらなるメリットが生まれます。 たとえば、WAF が攻撃を阻止すると、アクセス制御サービスに通知して、攻撃者をブロックするようにすることができます。
Security VPC 内のすべての要素間で通信する機能により、効果的なマルチベンダー検査が可能になり、McAfee、FireEye、Palo Alto Networks などの検査ツールを導入している組織の摩擦や冗長性を排除できます。 SSL 検査のために暗号化されていないトラフィックは、さらに検査するために検査ツールに渡すことができます。 これは、各ツールで同じトラフィックを暗号化解除、検査、再暗号化するよりも効率的です。
安全なクラウド アーキテクチャを作成するこのアプローチにより、アプリ開発者は高い俊敏性とスケーラビリティを実現でき、摩擦が軽減され、チーム間のコラボレーションが向上します。 ベースライン標準は Security VPC に導入されており、最小限の更新で済みます。 開発者は、基本的なセキュリティについては Security VPC を活用しながら、必要に応じてアプリ レベルでセキュリティを強化できます。 同様に、ネットワーク管理者は各環境 (開発、テスト、本番) のセキュリティ サービスを定義できます。 開発者がセキュリティ機能が事前に定義されていないアプリを起動すると、VPC レベルで定義された基本的なカバレッジが提供されます。
コードから顧客にアプリを提供することは、これまで以上に複雑です。 すべての環境とマルチクラウド アーキテクチャ全体でセキュリティを確保しながら、プロセスを簡素化するための手順があります。 まず、すべてのapplicationトラフィックに対して適切なエントリ ポイントを確立し、そのポイントを通じてベースライン レベルのセキュリティとトラフィック管理を提供します。 そこから、applicationレベルで追加のセキュリティ サービスを柔軟に定義できます。 この 2 段階のアプローチにより、一貫性、制御性、俊敏性を維持しながら信頼性の高いセキュリティが実現します。