Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1McAfee Information Technology
マカフィーがクラウド化を実現するまでMcAfee LLC Cloud Security Architecture Director
Brooke Noelke
2McAfee Information Technology
マカフィー独立後のクラウド情勢
アプリケーションとインフラストラクチャ
プライベートクラウド
オンプレミス/ホスト型
SaaSプロバイダー
ソフトウェアのクラウド化
インフラストラクチャの変革
インフラストラクチャの変革
オフィス | リモートサイト
クラウドサービス(IaaS/PaaS)
IT
コンシューマライゼーション
3McAfee Information Technology
パブリック
プライベート
インスタンス数
1000以上
500~999
250~499
100~249
0
~99
.
IaaS PaaS従来型
AWS
Azure
Oracle
プライベートクラウド
オンプレミス
グローバルPoP
プログラム開始時のインフラストラクチャ(アプリ数:約850)
4McAfee Information Technology
パブリック
プライベート
インスタンス数
1000以上
500 ~999
250~499
100~249
0
~99
IaaS PaaS従来型
AWS
Azure
Oracle
プライベートクラウド
オンプレミス
グローバルPoP
当初目指したインフラストラクチャ構造(アプリ数:約600)
5McAfee Information Technology
パブリック
プライベート
インスタンス数
1000以上
500~999
250~499
100~249
0
~99
IaaS/PaaS従来型
AWS
Azure
Oracle
プライベートクラウド
オンプレミス
グローバルPoP
現在のインフラストラクチャ(アプリ数:約650)
6McAfee Information Technology
変化するクラウド中央局と情報セキュリティ(InfoSec)の役割
ルールの記述:データセンター中心の環境に向けたルールとは異なる、クラウド関連の内部基準。変化が激しいクラウド環境で管理されるバックログを参考に、ルールを作成する。
スリムな技術基盤の構築(DevSecOpsと共通のツールセットのメンテナンス):これが、IT/InfoSecの新しい「役目」と見なされることが多い。クラウド化が自動で行われる場合、データセンター中心の環境のように、妥当な安定性を有する既存の環境上にセキュリティ/ガバナンスソリューションを構築することができない。ITがクラウド化の基準を定めることで、コード化が可能になる。開発技術力が必須(従来型のIT/InfoSec、非開発者、ツールセットチームだけでは、実現不可能)。
ボディーガード:攻撃者を阻止し、アーキテクトが最も安全な方法で「ビルや道路」を設計できるようにサポートする。
取締り:コンプライアンスは極めて重要である。共通のソリューション要素を使って論理的なルールを分かりやすく実装することで、チームの説明責任能力を保ちやすくなる。
(取締りにしか対応しなければ、各クラウドプロジェクトで、コストが高い独自の基盤にクラウドに適さないルールを解釈させるという不合理な取り組みが必要になる可能性がある。さまざまなチームに解釈を任せれば、ルールを一定の方法でインスタンス化することが難しくなるため、コンプライアンスを達成できない。)
4つの「役目」 -複数の方法で、組織の役職に役目を割り当てることが可能
7McAfee Information Technology
IaaS/PaaSクラウドが生む、開発者のための「イージーボタン」
ボタンを押せば、ファイアウォールを完全にコントロール可能!
ボタンを押せば、新規ストレージバケットと構成を完全にコントロール可能!
ボタンを押せば、データベースとデータを完全にコントロール可能!
アプリ開発者
8McAfee Information Technology
...しかし、イージーボタンに対してコンプライアンスや管理上の懸念が他部署から生じる
InfoSec
法務
アーキテクチャ
財務
アプリ開発者
?
?
?
?
9McAfee Information Technology
例:AWS RDSユーザーガイド - SQLサーバーインスタンスの作成
9/11/2018 https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.CreatingConnecting.SQLServer.html
文字通り、ユーザーにテストDBを公開としてセットアップするように
指示
10McAfee Information Technology
CUSTOMER CLOUD CENTER OF EXCELLENCE (COE)
AWS CLOUD ADOPTION FRAMEWORK DELIVERY KITS
PROJECT
FOUNDATION
MIGRATION
REINVENTION
INNOVATION
RETIRE TECH
DEBT
Value
Time
現在の主なフォーカス
AWSクラウド化のステージ
移行後に最適化されたアプリの価値やコスト削減率が急増
価値
イノベーション
再発明
古いテクノロジーの整理
プロジェクト
基盤
時間
AWSクラウド化実現までの道のり
お客様のクラウド センター・オブ・エクセレンス(CoE)
移行
11McAfee Information Technology
見えているカルチャートレンド
移行前
▪ 失敗は許されない
▪ コマンド&コントロール
▪ サイロ化「壁を超えさせる」
▪ 現場構築/デプロイ
▪ 長期的なデューデリジェンス
▪ 標準化
▪ 人材のアウトソーシング
▪ 製品ごとに調節
移行後
学習(少しずつ始めて、経験を積み、改良を重ねる)
責任の分散(クラウドチームがガイドを提供)
DevOpsと機能横断型チーム
自動化:コードとしてのインフラ、プロジェクトごとのデプロイ
早期かつ頻繁に実施
参照アーキテクチャ、固定観念なし、極めて限定された基準
社内の人材を起用/極めて限られた部分のみ提携
すべてのアプリ向けのデプロイコード記述とポリシー自動化
12McAfee Information Technology
Accenture 2019(レポートは別途、提供)
0%
10%
20%
30%
40%
50%
60%
Summary Just Starting Moderate Heavy Private Public Hybrid
Cost Speed Bus Enablement Services Levels
図1:目指すクラウド化の「完全達成」率(2019年Accenture調べ;完全版のレポートあり)
クラウド化の目標は達成されていない。その最大の原因はセキュリティ。
全体 初期ステージ 中間ステージ 終盤ステージ プライベート パブリック ハイブリット
コスト スピード ビジネスイネーブルメント
サービスレベル
13McAfee Information Technology
0%
10%
20%
30%
40%
50%
60%
70%
80%
Overall
セキュリティを達成できない理由
Skills Infrastructure Sprawl Misalignment Complexity Security
Accenture 2019(レポートは別途、提供)
全体
スキル インフラストラクチャ スプロール化 目標設定ミス 複雑さ セキュリティ
14McAfee Information Technology
CSPがクラウドセキュリティに不十分な理由
1. 主なクラウドプログラムで目標を達成できない最大の理由はセキュリティである(2019年Accenture調べ)
2. 全3社の大手アナリストレポートにおいて、マカフィーは実現能力とビジョンの分野でリーダー地位を獲得(3年連続):全3社がマイクロソフトのクラウドセキュリティ機能を疑問視
3. クラウド化によって不要な複雑性やリスクが緩和される。使いづらいセキュリティツールは、クラウドプログラム/開発プロジェクト全体を滞らせる。
CASBがセーフティネットとなり、開発/ビジネスチームによる迅速なクラウド技術革新をサポート
15McAfee Information Technology
全3社のCASBレポートでリーダーを獲得
注意:マカフィーは、2018年1月にSkyhigh Networksを買収
McAfee McAfee
McAfee
16McAfee Information Technology
McAfee recognized as 2019Gartner Peer Insights Customer’s Choice for Cloud Access Security Brokers(CASB)
#2
#3
173
61
58
Over Rating
4.6
4.6
4.5
17McAfee Information Technology
企業の機密データは、クラウドのどこに保存されていますか?
Salesforce
Office 365
Google Docs
Slack
AWS
カスタムアプリ
Box
ServiceNow
高リスクのシャドー
中/低リスクのシャドー
31%
13%
11%
16%
8%
5%5%
7%
2%
2%
お客様のデータに関するトレンド
18McAfee Information Technology
ネットワークセキュリティ
IaaS/PaaSインスタンス強化と脆
弱性スキャンウイルス対策とマル
ウェア防御IaaSのためのパッチ管理(アプリチーム)
ネットワークの区分化とファイアウォール
ウェブアプリケーションのファイアウォール
DDOS防御 送信データの暗号化
アプリケーションセキュリティテスト
SaaS
IDとアクセス管理(IAM)
多要素認証(MFA)(内部ユーザー)*
ID管理* アクセス制御 特権アクセス管理
イベントロギングと監視の一元化
証明書とキー管理
脅威インテリジェンス
CSP専用(構成管理要、テーブルステークス)
最優先 セキュリティ管理作業進行中 セキュリティ管理最適化済み
クラウドセキュリティプラットフォーム
IaaS/PaaSにおける重要構成の管理
ロギングやアラートの一元化
(IaaS/PaaS/SaaS)
電子探索/保存データの分類
ユーザーとエンティティの振る舞い分析(UEBA)(超人的な振る舞いなど)
DLPクロスプラットフォームポリシー管理
フォワードプロキシ/シャドーITの制御
協業と管理の共有私物端末の業務利用(BYOD)/アンマネージドデバイスの制御
eメールのDLP
データ探索、コンプライアンス義務を伴うO365、S3、TBD SaaSのためのデータ損
失防止(DLP)
アプリケーションセキュリティ
顧客向けアプリケーションのIAMとMFA
コードの衛生とテスト、アプリ脆弱性ス
キャン
「ビッグデータ」とデータベースセキュリティ(アクセス制
御?)
アプリケーションデータベース脆弱性スキャ
ン
顧客データの保持と暗号化
クラウドセキュリティのための参照アーキテクチャ作業の優先順位:ビジネスや優先度に合わせて調整
19McAfee Information Technology
IaaS/PaaSインスタンス強化と脆弱性スキャン
ウイルス対策とマルウェア防御
IaaSのためのパッチ管理
(アプリチーム)
ネットワークの区分化とファイアウォール
ウェブアプリケーションのファイアウォール
DDOS防御 送信データの暗号化
アプリケーションセキュリティテスト
SaaS
多要素認証(MFA)(内部ユーザー)*
ID管理* アクセス制御 特権アクセス管理
イベントロギングと監視の一元化
証明書とキー管理
脅威インテリジェンス
IaaS/PaaSにおける重要構成の管理
ロギングやアラートの一元化
(IaaS/PaaS/SaaS)
電子探索/保存データの分類
ユーザーとエンティティの振る舞い分析(UEBA)(超人的な振る舞いなど)
DLPクロスプラットフォームポリシー管理
フォワードプロキシ/シャドーITの制御
協業と管理の共有私物端末の業務利用(BYOD)/アンマネージドデバイスの制御
eメールのDLP
データ探索、コンプライアンス義務を伴うO365、S3、TBD SaaSのためのデータ損
失防止(DLP)
顧客向けアプリケーションのIAMとMFA
コードの衛生とテスト
「ビッグデータ」とデータベースセキュリティ(アクセス制
御?)
アプリケーションデータベース脆弱性
スキャン
顧客データの保持と暗号化
クラウドセキュリティのための参照アーキテクチャ作業の優先順位:ビジネスや優先度に合わせて調整
IDとアクセス管理(IAM)
クラウドセキュリティプラットフォーム
ネットワークセキュリティ
アプリケーションセキュリティ
CSP専用(構成管理要、テーブルステークス)
最優先 セキュリティ管理作業進行中 セキュリティ管理最適化済み
20McAfee Information Technology
▪ DLP
▪ 削除/隔離▪ 暗号化▪ アクセス▪ 設定
制御
▪ 対象:データ、アプリ、ユーザー、デバイス
▪ 閲覧者▪ 閲覧場所▪ 閲覧時▪ 共有
可視性
MVISION Cloud
SaaS IaaS/PaaS シャドー
アンマネージド マネージド
MVISION Cloudを利用するメリット
21McAfee Information Technology
McAfee MVISION Cloudが、クラウド内のすべての顧客データを保護
ロングテールSAAS
共通のセキュリティサービス
DLP
活動の監視アクセス制御
マルウェア保護UEBA
暗号化
設定監査
コンプライアンスとリスク評価
分類
シャドーアプリエンタープライズSAAS
クラウド専用IAAS/PAAS
リフト&シフトアプリ
レポート オーケストレーション
データ保護 脅威防御
22McAfee Information Technology
16%
31%
8%
7%
13%
11%
5%5%
Salesforce
Office 365
Google Docs
2%
Slack
2%
AWS
カスタムアプリ
Box
ServiceNow
高リスクのシャドー
中/低リスクのシャドー
MVISION Cloudクラウドセキュリティに完全対応
出典:McAfee Cloud Adoption Report(マカフィーのクラウドの採用に関するレポート:2018年11月版)
McAfee, the McAfee logo and [insert <other relevant McAfee Names>] are trademarks or registered trademarks of McAfee LLC or its subsidiaries in the U.S. and/or other countries.
Other names and brands may be claimed as the property of others.
Copyright © 2017 McAfee LLC.