クラウドは組織のイノベーションと俊敏性を推進してきましたが、セキュリティチームにとっては、人、プロセス、テクノロジーに関する新たなレベルの複雑さももたらしました。 今日のエラスティックなクラウド環境は、セキュリティが対処するためのアプローチを開発する必要がある新しいリスクをもたらしました。 先日、CxOは「Take Control of your Cloud Infrastructure Security」と題したウェビナーとセキュリティエグゼクティブラウンドテーブルを開催しました。 世界中からセキュリティエグゼクティブが集まり、クラウドセキュリティへのアプローチについて議論しました。 Aonの元最高セキュリティ責任者であるAnthony Belfiore氏がセッションで共有した重要なポイントについてご紹介します。
#1:複雑さが強力なクラウドセキュリティ体制の維持に関する課題を生む
議論全体を通して共通のテーマが繰り返され、アンソニーの経験は複雑さの1つでした。 クラウド環境はますます複雑化しており、サードパーティベンダーを含む幅広いチームや所有者によって新しいテクノロジーやアーキテクチャが継続的に展開されています。 その結果、クラウドのリスクは日々複雑化しています。 セキュリティチームは、何が存在するのか、誰が何を所有しているのかを可視化しようとして手一杯で、複雑なツールやエージェントベースのデプロイで複雑さを増す余裕はありません。 これは、オンプレミスからクラウドに移行する場合や、複数のクラウド環境を扱う場合に当てはまります。
私たちは、オンプレミスのプロプライエタリなレガシーアプリケーション環境を大量に実行しており、クラウドを活用したいと考えていました... すぐに気づいたことの1つは、従来のオンプレミスアプリをクラウドに移植しようとすると、うまく移植できないということです。 これらを移植すると、翻訳で失われることがあります。 特定のコントロールが削除されます。 特定の構成は効果的にマップされません。 私にとっては、(これらのアプリが)定義したセキュリティ要件と基準に従ってクラウドで動作しているという安心感と保証を得るにはどうすればよいでしょうか?
移行、コンプライアンス要件への対応、社内イノベーションのペースへの対応など、クラウドのセキュリティ体制はますます困難になっています。 CISOは、セキュリティを簡素化し、多様で動的なクラウド環境を可能な限り可視化する方法を模索しています。
Wizは、POCのために3つのクラウドに10〜15分で展開されました...その8分後、グラフ上にコンテキスト化されたビューで完全な直感的な画像が得られました...これほど迅速にツールを導入したことはありませんでした。 必要な API を取り込むだけです...インフラストラクチャの可用性や安定性には影響しません。 Wizは、クラウドからすべてのデータを吸い込み、穴や脆弱性のあるクラウド環境の全体像を数分で吐き出します。 それ'これは、チームの最も若いエンジニアにも直感的に明らかです。
#2: クラウド検証機能を持つことが重要
ゼロトラストは、独自のアーキテクチャを含むセキュリティのすべてに適用する必要があります。 つまり、セキュリティチームは、プラットフォーム、テクノロジー、リスクレイヤーを横断してクラウド環境を総合的に検証できる必要があります。 セキュリティチームは、サードパーティプロバイダーや独自のトポロジー図を盲目的に信頼することはできません。 本番環境で実際に何が起こっているかを検証できなければなりません。
私たちは暗黙のうちにAmazonとAzureを信頼していましたが、それは間違いでした。 信頼しながらも検証する必要があります。これらのクラウドですべてが意図したとおりに機能していることを確認する必要があります。 ドラッグ&ドロップでも、レガシーなものを後付けする場合でも、クラウドでネイティブに構築する場合でも、検証機能が必要です。 Wizは、AONにとって、その検証機能でした。
#3:セキュリティチームは最も差し迫った問題に時間を費やす必要がある
セキュリティチームはDevOpsに数十対1で劣勢であり、多くの場合、環境全体で数万のアラートに直面しています。 優先度の低いアラートに時間を費やしたり、影響の少ない問題を修正するためにDevOpsパートナーを追いかけたりすることに時間を費やす余裕はありません。 また、問題に正確に優先順位を付ける方法を見つける必要があり、価値実現までの時間を短縮し、セキュリティROIを向上させるツールに偏る必要があります。
予算のサイクルと時間は限られています。 私はそれらを最も差し迫った問題に割り当てなければなりません... 私は24年間セキュリティに携わってきましたが、価値を返すことはおろか、Wizよりも速く展開できるセキュリティツールを見たことがありません。 平均価値実現時間は30分未満でした。 それは私の仲間を吹き飛ばしました。 エンジニアリングチームがデータを持って戻ってきたとき、私たちは彼らが嘘をついていると思いました。 結果は不可能に思えました。 ウィズの出来栄えに嫉妬した。 正気の沙汰ではなかった。
クラウドセキュリティチームは、セキュリティ担当者とリソースが限られているため、価値実現までの時間とセキュリティROIだけでなく、他のセキュリティチームメンバーやDevOpsパートナーを支援する方法を模索しています。 セキュリティの調査と修復をより協力的でアクセスしやすくすればするほど、チームはより多くのことを処理できます。
Wizについて新鮮だったことの1つは、データの表示方法により、クラウドで何を見ているかを理解する経験がないセキュリティエンジニアやDevOpsユーザーでも、Wizが示すものの要点と、すべてがより口当たりが良く直感的になる方法を理解できることです。 これほど複雑なものをこれほど簡単に吐き出し、基本的に「ここに修正を適用し、ここを見て、ここに行って、これをやる」というようなツールは見たことがありません。 これこそが価値提案です。 誰もがチーム内にこれらすべての認定資格を持つスーパースターのクラウドアーキテクトがいるわけではないので、この種の問題に対処しようとするときに、そのレベルの色を持つことは本当に役立ちます。
#4:エージェントレスツールは未来の波
クラウド環境の相互接続性と複雑さにより、環境に影響を与えるセキュリティアプローチはますます支持できなくなってきています。 エージェントに適切なカバレッジを提供することは、複雑さとリソース使用率の点で追加コストは言うまでもなく、すでに困難です。 CISOの間では、セキュリティエージェントに関しては少ないほど良いという議論で概ね意見が一致しました。
認証されたスキャンツールは煩わしすぎて、クラウドインフラストラクチャにも悪影響を与える可能性があります。 適切なアプローチとは、目立たず、クラウド環境に影響を与えないアプローチです。
Wizのようなツールを使用したクラウドでの認証済みスキャンは必要ありません。 つまり、オンプレミスで行っていた方法...これらのスキャンVMプラットフォームのいずれかは、ドードーの道を行きます。 それがWizのメリットのひとつです。 ウィズは目立たない。 ポートやプロトコルレベルで資産とやり取りする必要がないため、問題が発生する可能性はありません。それがWizの美しさです。それは完全に常軌を逸しており、非侵襲的で、尋問されておらず、周囲の資産に影響を与えません。 ネイティブのクラウドAPIと運用データに基づいて、見たデータを吸い込むだけです。
ディスカッションを自分の目で確かめてください
クラウドに関して言えば、セキュリティチームとして最も重要な問題に取り組む方法を見つけることは、終わりのない課題です。 複雑さの増大、可視性と検証の強化の必要性、容赦ない優先順位付けはすべて、あらゆる規模の企業のセキュリティチームにとって重要な重点分野です。 円卓会議とアンソニーの話はすべて、これらの事実を思い出させるのに役立ちました。 アンソニーが学んだことや経験を自分で共有しているのを見ることができますここは.
