クラウドの耐障害性を向上させるためのセキュアなアプリケーション アーキテクチャの原則
クラウドに移行するアプリケーションの数が増えるにつれて、セキュアなアプリケーション アーキテクチャがこれまで以上に重要になっています。クラウド アーキテクチャの3つの原則をよく理解し、実際の環境でセキュアなクラウドの耐障害性の強化にお役立てください。
セキュア クラウド アーキテクチャ:耐障害性のあるアプリケーションの基盤
企業がアプリケーションをクラウドに移行する理由は、コストの削減、導入時間の短縮、高い耐障害性、優れた弾力性など数多くあります。この事実を把握している世界中の企業が、自社ポートフォリオの多種多様なアプリケーションにとって最適であるということからマルチクラウドの導入を採用しており、一般にそのアプリケーションには従来のアプリケーション(MS Exchange、SAPなど)からカスタムの社内アプリケーションまですべてが含まれます。
クラウドにアプリケーションをデプロイする際に考慮すべき重要事項はいくつもありますが、最も重要なことはセキュリティと柔軟性の2つです。これらの考慮事項は、密接に関連していることがわかっています。特に複数のクラウド・ロケーションに分散している場合、ウェブ・アプリケーションのセキュリティを確保する能力は、最初からアーキテクチャに組み込まれている必要があります。そうすることで、すべてのアプリケーションで一貫したセキュリティ ポリシーを維持し、ユーザー(従業員、パートナー、お客様、またはこれらすべて)がスムーズなエクスペリエンスを享受することができます。また、その一貫性により、運用上の柔軟性と耐障害性がある程度確保されるため、予想外の問題にすばやく対応し、新たな機会を逃さず活用することが大幅にたやすくなります。
クラウド アーキテクチャの原則
John Wagnonが先日のLightboardレッスンで指摘しているように、クラウド ユーザーは自分の責任が実際にどこにあるのかを把握しておく必要があります。「一般的に、クラウド 運営者はクラウドそのもののセキュリティに責任があり、ユーザーはクラウド内のセキュリティに責任があります」と、彼は述べています。残念ながら、この概念ではセキュリティ上の多くの懸念に対処できません。アプリケーションの安全性を確保するには、これらの隙間を埋めていく必要があります。
アプリケーションのセキュリティと耐障害性を確保するための計画を立てる際は、一貫性、制御性、俊敏性という3つの能力を最優先する必要があります。
アプリケーションのセキュリティと耐障害性を確保するための計画を立てる際は、一貫性、制御性、俊敏性という3つの能力を最優先する必要があります。当社が推奨するアプローチは、空港警備に似ています。すべての航空会社に独自の手荷物検査を実施するように要請するのではなく、旅行者は、合同の検査場で検査を受け、搭乗許可を得てゲートに進みます。同様に、セキュア クラウド アーキテクチャでは、特定のアプリケーションへのアクセスを許可する前に、すべてのトラフィックが統一されたセキュリティ仮想プライベート クラウド(VPC)を通過します。また、ゲート係員が搭乗前に座席を変更したり旅行者の搭乗券を確認したりできるように、各アプリケーションにセキュリティ機能を追加できるようになっています。
このようなシナリオで、セキュリティVPCは、負荷分散、WAF(およびその他のファイアウォール)、アクセス管理、資格情報の暗号化、SSL検査、DDoSおよびボット対策、API管理、性能管理など、リソースを大量に消費することの多い重要なたくさんの機能に対応できます。
セキュリティVPCのサービスは容易に相互通信を確立できるため、追加のメリットも生まれます。たとえば、WAFは攻撃を阻止すると、アクセス制御サービスに通知し、これらのサービスが攻撃者をブロックすることもできます。
セキュリティVPCのすべての要素間で通信できることで、マルチベンダー検査を効果的に実施することができ、McAfee、FireEye、Palo Alto Networksなどの検査ツールを導入する企業にとって摩擦や冗長性の排除につながります。SSL検査向けに暗号化解除したトラフィックを検査ツールに渡して詳細に検査することができます。これは、各ツールに同じトラフィックの暗号化解除、検査、再暗号化を要求するよりも効率的です。
セキュリティVPCは、リソースを大量に消費することの多い重要なたくさんの機能に対応できます。
セキュア クラウド アーキテクチャを構築するこのアプローチは、アプリケーション開発者に高レベルの俊敏性とスケーラビリティをもたらし、摩擦を減らし、チーム間の協力体制を向上させます。基礎となる標準的な項目はセキュリティVPCにデプロイされ、必要なのは最小限の更新のみです。開発者は、必要に応じて、基盤となるセキュリティVPCを使用してアプリケーション レベルでセキュリティを追加することができます。同様に、ネットワーク管理者は、環境(開発、テスト、生産)ごとにセキュリティ サービスを定義できます。セキュリティ機能が事前に定義されていないアプリケーションを開発者が立ち上げた場合は、VPCレベルで定義されている基本的な適用範囲が提供されます。
すべてを集約する
コードの開発から始めてお客様にアプリケーションを提供するまでのプロセスは、これまでになく複雑になっています。すべての環境とマルチクラウド アーキテクチャ全体のセキュリティを確保しながら、処理を簡略化できる手順があります。まず、すべてのアプリケーション トラフィックに適した優良なエントリ ポイントを確立し、次にそのポイントを通じてセキュリティおよびトラフィック管理の基準レベルを提供します。これにより、アプリケーション レベルで追加のセキュリティ サービスを定義できる柔軟性を手に入れることができます。この二段階アプローチは、一貫性、制御性、俊敏性を維持しながら、信頼性の高いセキュリティを実現します。