Red Hat Summitセキュリティ
Red Hat のアプローチ:ハイブリッドクラウド・セキュリティ
Red Hat は、ハイブリッドクラウド全体でアプリケーションをより安全に構築し、デプロイするためのテクノロジーを提供します。お客様がインフラストラクチャ、アプリケーションスタック、およびライフサイクル全体でセキュリティを実装できるように、階層化された多層防御のアプローチを採っています。
コンテナとハイブリッドクラウド・テクノロジーによって、セキュリティを取り巻く環境は以前に比べてはるかに複雑になりました。これらのテクノロジーがもたらすリスクの変化、コンプライアンス要件、ツール、およびアーキテクチャの変更にセキュリティチームが対応することはますます困難になっています。
境界に基づく従来のネットワークセキュリティは、それ自体ではもはや効果を発揮しません。セキュリティチームはアプローチを再考して、マイクロセグメンテーション、継続的なユーザー検証、ラテラルムーブメントの防止など、先進的なゼロトラスト・アーキテクチャの原則を組み込まなければなりません。
セキュリティは、アプリケーションとインフラストラクチャ・スタックの各層に実装する必要があります。人とシステムの間、およびシステム間の認可は、暗黙的に行われることを想定するのではなく明示的に行われる必要があります。自動化された方法でセキュリティを継続的に監視し、早期に対処するためには、人とプロセスを調整する必要があります。
セキュリティとコンプライアンスに対する Red Hat のアプローチについて詳しく見る
ハイブリッドクラウドのための多層防御
先進的なハイブリッドクラウドを保護するには、インフラストラクチャ・スタックとアプリケーション・ライフサイクル全体でセキュリティを階層化する必要があります。お客様が完全に制御できるインフラストラクチャ (データセンターなど) の場合、Red Hat ソフトウェアは、ゼロトラストポリシーをデフォルトとする多層防御戦略を優先します。また、当社の広範なパートナーエコシステムは、同じセキュリティ原則を、お客様が完全に制御できない環境 (パブリッククラウドなど) にまで拡張します。
この多層防御戦略により、単一のセキュリティレイヤーに依存する必要がなくなります。代わりに、セキュリティは、オペレーティングシステムからコンテナ・プラットフォーム、SaaS (Software-as-a-Service) への自動化ツールに至るまで、あるいはクラウドサービスの一部として、人、プロセス、テクノロジー全体で統合されます。
ハイブリッドクラウドにおけるサプライチェーン攻撃からの保護
全体的なセキュリティが最もセキュリティの弱い部分より高くなることはありません。しかしハイブリッドクラウド環境においては、その「弱い部分」がどこにあるかを確認するのは必ずしも簡単ではありません。Red Hat は Linux® をはじめとするエンタープライズ対応ソフトウェアのアップストリームのオープンソース・コミュニティと連携し、それらのソフトウェアの強化、テスト、安全な配信を実現しています。
業界が認めるプラットフォームであり、実際 Red Hat は自社製品のセキュリティ認定を取得するために多大な努力を払っています。Red Hat がアップストリームで行った作業を顧客のセキュリティ担当者に示すことができるため、アプリケーションのプロダクションへの導入は非常に容易になります。
オープンソースソフトウェアのセキュリティ
スタックとライフサイクル全体にわたるセキュリティ
セキュリティは、後から追加するものではありません。インフラストラクチャ、アプリケーションスタック、およびライフサイクル全体を通じて統合されたものでなければなりません。
Red Hat は、セキュリティをアプリケーションに組み込み、アプリケーションを強化されたプラットフォームにデプロイし、セキュリティおよびコンプライアンス要件の変化に応じてインフラストラクチャとアプリケーションを管理、自動化、適応できるよう支援します。
- 設計:セキュリティ要件とガバナンスモデルを見極める
- ビルド:セキュリティを追加するのではなく、最初からアプリケーションスタックとライフサイクルに組み込む
- 実行:高度なセキュリティ機能を備えた、信頼できるプラットフォームにデプロイする
- 管理と自動化:インフラストラクチャとアプリケーション開発を自動化して、セキュリティとコンプライアンスを向上させる
- 適応:セキュリティ環境の変化に応じて改訂、更新、修正する
DevSecOps の基盤
インフラストラクチャ、アプリケーションスタック、およびライフサイクル全体にわたる、階層化された多層防御のセキュリティ戦略は、ハイブリッドクラウド・セキュリティと DevSecOps の両方にとって重要です。
DevOps は、コラボレーティブな作業方法に、ソフトウェア開発と IT 運用の統制法を融合させました。将来を見据えた DevOps チームは、この DevOps モデルにセキュリティを含めることの重要性を認識し、それが DevSecOps の誕生につながりました。
DevSecOps とは、アプリケーションとインフラストラクチャのセキュリティを、開始時点から考慮することです。また、DevOps ワークフローの速度が低下しないよう、セキュリティ運用を自動化することも必要です。
開発者がセキュリティを念頭にコードを作成できるよう支援する必要性も浮き彫りになります。このプロセスには、既知の脅威に対する可視性、フィードバック、知見を共有するセキュリティチームが協力します。
事例
規制が厳しい業種向けにクラウド・ソリューションを構築
クラウドサービス・プロバイダーの ORock Technologies は、政府機関や規制の厳しい業種向けに、より安全なエンタープライズ・オープンソース・クラウド・ソリューションを構築するためのテクノロジーパートナーを必要としていました。Red Hat は ORock と連携して、Red Hat OpenShift® のコンテナサービスである Red Hat® OpenStack® Platform でクラウド環境を構築し、Federal Risk and Authorization Management Program (FedRAMP) 認定を取得しました。
Red Hat 製品のセキュリティ
数百のクラウドと数千のベンダーで認定された、トップクラスのエンタープライズ向け Linux オペレーティングシステム。組み込みツールは、コンプライアンスを確保し、セキュリティを強化するのに役立ちます。
エンタープライズ対応の Kubernetes コンテナ・プラットフォームで、ハイブリッドクラウドやマルチクラウドのデプロイメントを管理するフルスタックの自動運用機能を備えています。ポリシーおよび制御向けの組み込み機能により、コンテナのセキュリティを強化します。
自動化の段階がどこであってもエンタープライズ規模で一貫性のある自動化を実装するプラットフォーム。自動化により、構成ミスや手動エラーによって引き起こされるリスクを軽減し、アクセス制御、ロギング、および監査機能を使用してセキュリティをプロセスに統合しながら、セキュリティ運用を効率化します。
| 設計 | ビルド | 実行 | 管理 | 適応 |
|---|---|---|---|---|
