クラウドアプリケーションセキュリティの必要性
現代のエンタープライズワークロードは、Google WorkspacesやMicrosoft 365などのSaaS製品のスイートからカスタムまで、さまざまなクラウドプラットフォームに分散しています クラウドネイティブ・アプリケーション 複数のハイパースケールクラウドサービスプロバイダーで実行されています。
その結果、ネットワーク境界はかつてないほど動的になり、重要なデータやワークロードは、10年前には存在しなかった脅威に直面しています。 企業は、ワークロードが実行される場所を問わず、ワークロードを確実に保護できなければなりません。 さらに、クラウドコンピューティングは、データ主権とデータガバナンスに新たなしわ寄せを加え、コンプライアンスを複雑にする可能性があります。
個々のクラウドサービスプロバイダーは、自社のプラットフォームにセキュリティソリューションを提供することがよくありますが、マルチクラウドが当たり前の世界では、Gartnerの調査では、 パブリッククラウドユーザーの80%が複数のプロバイダーを利用しています :すべてのプラットフォームで企業をエンド・ツー・エンドで保護できるソリューションが必要です。
クラウドアプリケーションセキュリティの脅威
- アカウントの乗っ取り: 脆弱なパスワードやデータ侵害により、正当なアカウントが侵害されることがよくあります。 攻撃者がアカウントを侵害した場合、機密データにアクセスし、クラウド資産を完全に制御できます。
- 資格情報の公開: アカウント乗っ取りの必然的な帰結は、資格情報の漏洩です。 SolarWindsのセキュリティ侵害が示したようにでは、クラウド (この場合は GitHub) で資格情報を公開すると、アカウントの乗っ取りや、さまざまな高度な長期攻撃につながる可能性があります。
- ボットと自動攻撃: ボットや悪意のあるスキャナーは、あらゆるサービスをインターネットに公開するという不幸な現実です。 その結果、クラウドサービスやWeb向けアプリケーションは、自動化された攻撃によってもたらされる脅威を考慮する必要があります。
- 安全でない API: APIは、最新のクラウド環境で内部と外部の両方でデータを共有するための最も一般的なメカニズムの1つです。 しかし、APIは機能もデータも豊富であることが多いため、ハッカーの攻撃対象領域として人気があります。
- データの過剰共有: クラウドデータストレージを使用すると、URLを使用してデータを簡単に共有できます。 これにより、企業のコラボレーションが大幅に合理化されます。 ただし、権限のないユーザーや悪意のあるユーザーによって資産がアクセスされる可能性も高くなります。
- DoS攻撃: 大企業に対するサービス拒否(DoS)攻撃は、長い間サイバーセキュリティの脅威でした。 現代の多くの組織がパブリッククラウドサービスに依存しているため、クラウドサービスプロバイダーに対する攻撃は、今や指数関数的な影響を与える可能性があります。
- ミス: 最も一般的な理由の1つ データ侵害 設定ミスです。 クラウドでの設定ミスの頻度は、主に、クラウドプロバイダー間の構成管理(手動プロセスのばらばらにつながる)とアクセス制御に伴う複雑さによるものです。
- フィッシングとソーシャルエンジニアリング: 企業セキュリティの人的側面を悪用するフィッシング攻撃やソーシャルエンジニアリング攻撃は、最も頻繁に悪用される攻撃ベクトルの1つです。
- 複雑さと可視性の欠如: 多くのエンタープライズ環境はマルチクラウドであるため、構成管理、プラットフォーム間のきめ細かな監視、アクセス制御の複雑さにより、手動構成を含むワークフローが分断され、可視性が制限されることが多く、クラウドセキュリティの課題がさらに悪化します。
クラウドアプリケーションセキュリティソリューションの種類
企業がクラウドアプリケーションのセキュリティの脅威を軽減するために設計されたセキュリティソリューションには事欠きません。 例えば クラウドアクセスセキュリティブローカー (CASB)は、クラウドサービスのゲートキーパーとして機能し、きめ細かなセキュリティポリシーを適用します。 同じように Webアプリケーションファイアウォール(WAF)とランタイムアプリケーションセルフプロテクション(RASP) Webアプリ、API、および個々のアプリケーションを保護します。
さらに、多くの企業は、ファイアウォール、IPS/IDS、URLフィルタリング、脅威検出を実装するために、ポイントアプライアンスを引き続き活用しています。 しかし、これらのソリューションは、本質的に柔軟性がなく、特定の場所に縛られているため、最新のクラウドネイティブインフラストラクチャには理想的ではありません。
Webアプリケーション & API Protection (WAAP) は、WAF、RASP、従来のポイントソリューションの機能を包括的なマルチクラウドプラットフォームに組み合わせ、強化する、より包括的でクラウドネイティブなソリューションとして登場しました。 WAAPを使用すると、企業は従来のツールでは不可能な方法で最新のアプリケーションセキュリティを自動化および拡張できます。
クラウドアプリケーションセキュリティのベストプラクティス
企業は、クラウドセキュリティ体制を改善するために、包括的なアプローチを取る必要があります。 すべての組織に当てはまる万能のアプローチはありませんが、すべての企業が適用できるクラウドアプリケーションセキュリティのベストプラクティスがいくつかあります。
ここでは、企業が検討すべき最も重要なクラウド アプリ セキュリティのベスト プラクティスをいくつか紹介します。
- MFAの活用: 多要素認証 (MFA) は、アカウント侵害のリスクを制限するための最も効果的なメカニズムの 1 つです。
- 人間的な側面を考慮する:ユーザーエラーは、データ侵害の最も一般的な原因の1つです。 ユーザー教育と、URLフィルター、マルウェア対策、インテリジェントファイアウォールなどのセキュリティツールの実装という2つのアプローチを採用することで、ソーシャルエンジニアリングが壊滅的なセキュリティ問題につながるリスクを大幅に軽減できます。
- すべてを自動化: 企業は、クラウド アプリケーションの監視、インシデント対応、および構成を可能な限り自動化する必要があります。 手動のワークフローはエラーが発生しやすく、見落としやデータ漏洩の一般的な原因となります。
- 最小特権の原則を適用する: ユーザー アカウントとアプリケーションは、ビジネス機能に必要な資産にのみアクセスするように構成する必要があります。 セキュリティ ポリシーでは、すべてのクラウド プラットフォームに最小特権の原則を適用する必要があります。 エンタープライズID管理ソリューションの活用と SSOの (シングルサインオン)は、企業がこのクラウドアプリケーションセキュリティのベストプラクティスを拡張するのに役立ちます。
- 包括的なマルチクラウドソリューションを使用: 最新のエンタープライズインフラストラクチャは複雑であり、企業はすべてのプラットフォームで強力なセキュリティ体制を確保するために完全な可視性を必要としています。 つまり、特定の場所(ポイントアプライアンスなど)やクラウドベンダーに本質的に縛られない可視性とセキュリティのツールを選択することが不可欠です。
- 署名の一致だけに依存しないでください。 多くの脅威検出エンジンとマルウェア対策ソリューションは、悪意のある動作を検出するために署名の照合と基本的なビジネス ロジックに依存しています。 既知の脅威の検出は便利ですが、実際には、脅威の検出を基本的なシグネチャの一致のみに依存すると、誤検知が発生し、アラート疲れや運用の不必要に遅くなる可能性があります。 さらに、シグネチャマッピングだけに依存しているということは、企業が ゼロデイ脅威 既知の署名がまだありません。 AIエンジンを使用するなどして、状況に応じて行動を分析できるセキュリティツールは、誤検知を減らし、ゼロデイ脅威が悪用される可能性を減らすことができます。
クラウド AppSec With チェック・ポイント
最新のクラウドアプリケーションセキュリティには、クラウドを念頭に置いて構築されたソリューションが必要です。 CloudGuard AppSec from CheckPointは、企業がすべてのクラウドでデータと資産をエンドツーエンドで保護することを可能にし、最新のクラウドネイティブ・ビジネスを念頭に置いて構築されています。 AppSecは、現代の幅広い企業から信頼されており、実際のアプリケーションで実証されています。 たとえば、CloudGuard AppSecは、お客様を以下から保護する唯一のセキュリティソリューションでした。 Log4Shell(CVE-2021-44228) それが公に発表される前に。
AppSecにより、企業は次のようなメリットを得られます。
- 単一のプラットフォームで包括的なマルチクラウド保護。
- 特許取得済みのAIエンジンによるプリエンプティブなアプリケーションセキュリティ コンテキストでリクエストを分析し、ゼロデイエクスプロイトのリスクを軽減するのに役立ちます。
- OWASP Top 10、サイト改ざん、ユーザーセッションハイジャックなど、一般的なWebアプリケーション攻撃とエクスプロイトの防止。
- インテリジェントなコンテキスト分析によるAPI保護。
- ボットの防止と、スクレイピング、クレデンシャルスタッフィング、その他の自動攻撃に対する保護。
- 単純なシグネチャマッピングの代わりにコンテクスチュアルAIによる誤検知の排除。
CloudGuard AppSecの動作を確認するには、 アプリケーションセキュリティの無料デモを今すぐご予約ください.デモでは、CloudGuardの自動アプリケーションセキュリティが、DevSecOpsワークフローと緊密に統合し、クラウドセキュリティ全体のギャップをなくすことができるきめ細かなセキュリティを企業に提供する方法を直接確認できます。
クラウドアプリのセキュリティの詳細については、 無料のクラウド アプリケーション Security Blueprint: Architectures and Solutions ホワイトペーパー.このホワイトペーパーでは、ワークフローの自動化、アプリケーションセキュリティのTCOの削減、誤検知の防止など、最新のクラウドネイティブアプリケーションセキュリティの最新情報をご紹介します。
Feedback