クラウドファイアウォールとは?

クラウドファイアウォールが重要な理由

基本的に、クラウドファイアウォールはサイバーセキュリティ ツールキットの重要な部分です。組織のクラウド ネットワーク境界に配置され、クラウド ネットワークに出入りするすべてのトラフィックを監視します。これは North/South トラフィックと呼ばれ、クラウドベースのアプリケーションにアクセスする顧客やクラウド リソースにアクセスする内部エンドユーザーなど、外部のユーザーまたはシステムとのネットワーク インタラクションが含まれます。

ほとんどの組織では、南北ネットワーク トラフィックがネットワーク トラフィックの大部分を占めています。この境界で、ファイアウォールがすべての要求の内容と正当性を監視します。しかし、現在では、東西ネットワークの移動、つまり組織のクラウド ネットワーク内のデバイス間で転送されるデータ パケットに重点が置かれるようになっています。攻撃者は内部リソースに置かれた暗黙の信頼を悪用することが多く、東西ネットワークは不正なネットワークトラフィックの横方向の移動に対してはるかに脆弱になり、脅威の爆発半径が拡大します。

クラウド ファイアウォールは、East-West トラフィックをセグメント化し、マルウェアの展開やデータの盗難が行われる前に、アカウント乗っ取りや内部脅威を捕捉できます。こうやって。

クラウドファイアウォールの機能

さまざまな種類のトラフィックを監視するには、いくつかのコア機能が必要です。

トラフィックインターセプション

クラウド ファイアウォールの中核となるのは、トラフィックを戦略的に傍受する機能です。これは通常、リバース プロキシ セットアップでファイアウォールをゲートウェイとして配置し、要求されたすべてのデータをファイアウォール経由で実行することによって収集されます。遅延を低く抑えるために、クラウド ウォール ファイアは組織の本社とデータ センターに地理的に近い場所に展開されることがよくあります。

パケット検査

各ネットワーク パケットは、ファイアウォールの基盤となるルール セットと分析エンジンに従って分析されます。コアの詳細は、IP アドレス、ポート、プロトコルなどのヘッダーの詳細です。よりステートフルなファイアウォール分析には、各パケットを取り巻くコンテキストが含まれます。現在、最も高度なクラウド ファイアウォールでは、各接続に関するリスク スコアが継続的に記録されており、企業は各リソースが受ける可能性のあるリスクのレベルを特定できます。

セキュリティポリシーの施行

パケット検査プロセスに従って、クラウド ファイアウォールは各ルールに含まれる特定のアクションを適用します。これは、接続をブロックするだけの単純なものから、エンドユーザーに追加の認証を要求するだけの複雑なものまであります。

脅威検出とセキュリティツールの統合

侵入検知および防止システム (IDS/IPS) などの技術を活用することで、クラウド ファイアウォールは他のセキュリティ ツールと統合し、マルウェア、不正アクセス、疑わしいアクティビティなどのより深刻な脅威を軽減できます。ファイアウォール データは、自動化された脅威検出に最も影響を与えるコンポーネントの 1 つです。

ログ記録とレポート

クラウド ファイアウォールは、すべてのポリシーベースの応答と周囲のネットワーク アクティビティのログを保持します。これは、より広範なコンプライアンスおよびレポート機能の重要な部分です。

理論上は、これらの機能は従来の物理的なファイアウォールとそれほど変わらないように見えますが、クラウド ファイアウォールは何がそれほど異なるのでしょうか?

仕組み

従来、ファイアウォールは物理的な存在でした。 これらはデジタル境界の一部として存在し、多くの場合、潜在的に悪意のあるトラフィックがシステムに到達する前に 傍受することを目的とした 自己完結型のルーターにすぎませんでした。 では、データやソフトウェアがクラウドに存在し、クラウドファイアウォールを使用している場合、これはどのように機能するのでしょうか。

従来のファイアウォールアプライアンスとは異なり、クラウドベースの境界は、少なくともアプリケーションやデータベースに対しては、物理的な場所には存在しません。 システムのすべての要素が分散しています。 しかし、根本的なレベルでは、次世代システムは従来のシステムとそれほど変わりません。 主な違いは、データが 1 つのポイントから入力され、フィルタリングされてから適切なポートに配布されるのではなく、クラウド レベルでフィルタリングが行われることです。 クラウドベースのツールには、悪質な行為者を締め出すことができる目に見えない壁があります。

従来のファイアウォールとクラウドファイアウォール

従来のファイアウォールは、組織の管理下にある組織の施設に設置される物理デバイスまたはアプライアンスです。通常、サーバー スタックと同じ部屋に物理的に保管されます。ネットワークの観点から見ると、ファイアウォールはネットワーク ルーターと内部ネットワーク上のすべてのデバイスの間に配置されます。すべてのデバイスは、このファイアウォールを経由してデータ フローをルーティングするように構成されます。このネットワーク アーキテクチャは今でも一般的です。

クラウド ファイアウォールは、物理的にサーバー スタック内に配置されるのではなく、インターネット経由でアクセス可能なサービスとして動作します。従来のファイアウォールと同じ機能（プライベート クラウド ネットワークまたはパブリック クラウド ネットワークに出入りするデータ フローの制御）をクラウド仮想化によって実行しますが、オンプレミスのハードウェアは必要ありません。このアーキテクチャには、以下で説明するように、いくつかの利点があります。

クラウドファイアウォールを使用してゼロトラストセキュリティを強化する方法

クラウド ファイアウォールは、厳格なアクセス制御を実施し、送信元に関係なくすべてのネットワーク トラフィックを継続的に検証することで、ゼロ トラスト セキュリティ モデルの実装において重要な役割を果たします。クラウド ファイア ウォールは、異なる内部クラウド ネットワークまたはサブネット間で、東西を問わず、すべてのリクエストの個別のコンテキストを評価できます。

ゼロ トラストの原則は「決して信頼せず、常に検証する」ことに基づいており、クラウド ファイアウォールはゼロ トラスト アーキテクチャに不可欠なコンポーネントですが、ゼロ トラスト プロジェクトが依存すべき唯一のセキュリティ アプローチからは程遠いものです。セキュリティ管理はネットワークだけに留まりませんが、ゼロ トラストを実現するための最も重要な構成要素の 1 つです。

クラウドファイアウォールのベストプラクティス

物理ファイアウォールと同様に、クラウド ファイアウォールもライフサイクル全体を通じて一定のサポートと更新が必要です。ファイアウォールのベスト プラクティスは、すぐに「すべきこと」と「すべきでないこと」が入り混じった混乱した状況に陥る可能性があるため、ここではゼロ トラストのベスト プラクティスの簡単なリストを示します。

事前に設定されたルールだけに頼らない

今日のほとんどのファイアウォールには、最も一般的なネットワークベースの攻撃をカバーする事前構成されたルールセットが付属しています。ただし、これらは組織に固有のものではなく、ネットワークの特定の輪郭に応じて独自のファイアウォール ポリシーが必要になります。たとえば、企業で LinuxConf 構成プログラムを使用しない場合は、ファイアウォール経由でポート 98 へのすべてのアクセスを禁止する必要があります。一方、企業のチームが実際に必要とする特定のプログラムに対してのみポートへのアクセスを許可することを検討してください。

強固なポリシー文書基盤を維持する

クラウド ファイアウォール ルールが変更されるたびに、各ルールに関連するドキュメントもそれに応じて編集する必要があります。すべてのセキュリティ チーム メンバーは、このドキュメントがどこにあるか、および各ドキュメントに関連する変更プロセスを認識している必要があります。

ファイアウォールのパフォーマンスを監査する

ファイアウォールの弱点を検出するには、その構成を定期的に確認する必要があります。これは、攻撃状況下でのファイアウォールの耐性を分析するペンテスティング (侵入テスト) によって最も効果的に実行されます。これは、ファイアウォールが実際にどの程度適切に構成されているかを評価する最も明確な方法の 1 つです (ただし、ペネトレーションテスターがファイアウォールの応答に関する完全なレポートを提供している必要があります)。