ルールのスプロールからゼロ・トラストまで: ZPR PSAとIAMが顧客のクラウド・セキュリティをどのように変革したか (2026/06/07)
ルールのスプロールからゼロ・トラストまで: ZPR PSAとIAMが顧客のクラウド・セキュリティをどのように変革したか (2026/06/07) https://blogs.oracle.com/cloud-infrastructure/from-rule-sprawl-to-zero-trust 投稿者: Loy Evans | Consulting Member of Technical Staff セキュリティルールが理解できる速度よりも速く増えていくと、セキュリティは確保されず、ある意味セキュリティがあるように見せかけているだけになってしまいます。これは、あるOracle Cloudの顧客がゼロトラストパケットルーティング(ZPR)とプライベートサービスアクセス(PSA)を採用する前に直面した課題でした。この記事では、彼らがどのようにして、広範で脆弱なセキュリティリストから、監査が容易で悪用されにくく、拡張性にも優れた、ワークロード中心のクリーンなポリシーモデルへと移行したのかを紹介します。 問題点:誰も説明できないセキュリティリスト 顧客の環境は、多くの成熟したクラウド導入事例に典型的なものでした。マルチリージョンアーキテクチャを採用し、制御プレーンとデータプレーンのVCNが分離されており、コンピューティング、ロードバランサー、スキャンツール、踏み台ホスト、およびオブジェクトストレージ、ログ記録、認証などのOracle Services Networkリソースにアクセスするためのサービスゲートウェイ接続を備えていました。 理論上は、構造は整っていた。しかし実際には、それを規定するセキュリティ規則は、維持管理上の負担となり、深刻なセキュリティ上の問題を引き起こしていた。 セキュリティリストの問題点 ルールの乱立と意図の不一致:説明のつかないCIDRソース、宛先、重複を含む150を超えるセキュリティルール サブネット中心、ワークロード中心ではない:セグメンテーションはネットワークトポロジーに基づいており、ワークロード同士が通信する必要のある内容とは関係がなかった。 監査の負担:最小権限アクセスを検証することは、時間のかかる手作業のプロセスであり、リソースを大量に消費し、エラーが発生しやすく、外部監査チームが意図を検証するのに通常数週間を要した。 OS...
