クラウドに乗って未来へ |マルチクラウドアーキテクチャにおけるByteDanceのセキュリティ運用の実践

企業のデジタル変革が「高速道路」に入るにつれて、「クラウドに移行することが標準であり、クラウドに移行しないことが例外である」という概念がますます受け入れられ、一連のクラウドセキュリティ問題が徐々に表面化しています。情報漏洩の問題が頻繁に発生し、ゾンビ攻撃、アプリケーション攻撃などが頻繁に侵入し、ビジネスの継続性がある程度影響を受けています。適切かつ効果的な手段は、クラウド時代に企業を守る「見えない武器」となるでしょう。

11月10日、11月16日、11月24日に、北京、上海、深センでVolcano Engineパブリッククラウド都市共有セッションが開催されました。会議では、Volcano Engineが「クラウドリスクを簡単に制御する方法」をテーマに、複雑なマルチクラウドアーキテクチャ下でのセキュリティ運用におけるByteDanceの実践経験を共有し、Volcano Engineのクラウドセキュリティを効率的に保護する能力を実証しました。

以下はスピーチの記録です。

Volcano Engineは安全なクラウドを目指しています

デジタルトランスフォーメーションのプロセスが加速するにつれ、業務運営の効率化を図るためにクラウド上にビジネスを展開する企業が増えています。しかし、ここ2年ほどで、国内外を問わずクラウドをめぐる攻防の問題がますます増えてきました。多くの企業は、クラウドに移行するとリスク要因が増加し、ビジネスのセキュリティ レベルが低下するのではないかという疑問を抱かずにはいられません。

この時点で、データ セキュリティやクラウド権限管理などのクラウド セキュリティの問題に、あらゆる分野がますます注目し始めています。 Volcano Engine は、急増する市場の需要に基づき、自社の製品とサービスを活用して、企業がクラウドへの移行プロセスで遭遇するセキュリティの問題を解決できるよう支援することに取り組んでいます。

Volcano Engine パブリック クラウド シティ共有セッションで最も議論されたトピックは、Volcano Engine がクラウドを構築したいと思った理由でした。

toB業界のベテラン企業と比較すると、Volcano Engineはクラウド事業においてまだ追い上げ段階にある。しかし、競争力の面では、Volcano Engine の toB 事業には 2 つの中核的な競争優位性があります。

まず、Volcano Engine はあらゆる階層の人々にサービスを提供することを望み、お客様が前向きな姿勢でさまざまな問題を解決するのに役立つ最後の「セーフティネット」として機能することができます。第二に、ByteDance は、事業のクラウド移行とクラウドネイティブ化の面で業界の最前線に立っています。

クラウドへの移行の過程で、ByteDance はセキュリティの問題にも直面しています。最も典型的な例は、クラウドとオフラインの IDC の運用、保守、管理、運用方法がまったく異なるため、ビジネス部門、セキュリティ部門、運用保守部門に大きな課題が生じていることです。

例えばIDC分野では、ファイアウォールやスイッチ、データベースがパブリックネットワークにアクセスできるかどうかをすべて自分で制御でき、しかもコマンド1つで実現できます。しかし、このアプローチはクラウドでは実現できません。ほぼすべてのクラウドでは、多数のルール、ロール、権限などの設定が必要です。設定が間違っていると、前述の問題が発生します。したがって、クラウド上のセキュリティの複雑さは非常に大きくなります。

コストや安定性の観点から見ても、マルチクラウドの利用は多くの企業にとって必須です。マルチクラウドとは、企業が複数のクラウドベンダーの製品を使用する必要があることを意味します。しかし、クラウド製品 1 つですでに多くの問題が発生しています。マルチクラウドはこれらの問題とリスクを 2 倍、あるいは 3 倍に増やし、計り知れないほどの隠れた危険をもたらします。

Volcano Engine のこれまでの調査では、海外の関連クラウドおよびマルチクラウド保護製品のほとんどは比較的成熟しているが、中国では成熟した製品が比較的少ないことが判明しました。これは、国の情報化プロセスと変革のペースに密接に関係しています。

現在、国内企業の大多数は、大量のECSコンピューティングパワーとストレージを購入し、一部のエッジ業務をクラウド上に置き、主要業務はオフラインのままという、比較的シンプルな方法でクラウドを利用しています。相対的に見ると、クラウドの利用形態やパターンはそれほど複雑ではなく、多くの問題が十分に明らかにされていません。

企業の情報変革やコスト削減、効率化の需要が高まるにつれ、パブリッククラウドやハイブリッドクラウドは今後も成長傾向を示し続けるでしょう。このような傾向から、セキュリティの問題は企業が注意しなければならないものとなっています。 Volcano Engine が行う必要があるのは、マルチクラウド シナリオを自ら使用する場合でも、顧客に外部サービスを提供する場合でも、セキュリティと安定性を確保するためにその価値を最大化することです。これは、Volcano Engine が長期にわたって投資する事業でもあります。

マルチクラウドのセキュリティリスクは、多くの追加コストをもたらします。セキュリティの観点からは、ランサムウェアを含むさまざまな問題が徐々に明らかになるでしょう。ビジネスの観点から見ると、データ漏洩などのセキュリティ問題の修復プロセスはより困難でコストがかかります。

後からではなく、事前に行ってください。目が見えるようにし、盲目にしないようにする。

上記の複数の課題を踏まえ、ByteDance は、事後ではなく事前のセキュリティ運用とセキュリティ保護、死角ではなく可視性の観点からソリューションを提案しました。

つまり、セキュリティ リスクが発生した後ではなく、発生する前に制御するようにしてください。パブリック ネットワークまたはイントラネットに公開されているすべての資産を、死角なく可能な限り可視化します。盲点というのは、いつ自社のドメイン名や IP が偽造され、会社の業務コードや機密データが漏洩する可能性があるかわからないため、非常に恐ろしいものです。事前に予防策を講じなければ、発生する損失は制御不能になります。

クラウド アカウントのセキュリティ リスクが大幅に増加しました。アカウントによって権限が異なります。たとえば、ビジネス開発者や運用保守担当者が知らないうちにエンタープライズ クラウド上にデータベースや ECS を作成した場合、漏洩や攻撃のリスクに直面する可能性があります。

また、分散せずに統一してください。セキュリティの問題は、この側面ではビジネスと同じであり、統一性に重点を置く必要があります。セキュリティ分野には、企業のセキュリティはその最小の事業によって決まるというショートボード理論があります。中小企業が侵害されると、すべての企業に直接影響が及ぶことになります。統合されたセキュリティ制御とガバナンスは、効率、コスト、安​​定性などの要素に関係するため、企業のクラウドへの移行において重要な部分となります。

企業のクラウドセキュリティを保護するために、複数の機能を備えた製品マトリックスを構築する

ByteDance のクラウド移行プロセスは比較的速く、同社の主要事業のほぼすべてがクラウド上にあります。そこで、Volcano EngineはByteDanceのビジネス保護の経験に基づいて、関連するソリューションをまとめ、製品に統合し、顧客やパートナーに出力しました。

全体として、ByteDance は単一のクラウドを運用するのと同じように複数のクラウドを運用したいと考えています。これにはいくつかの側面が含まれます。下層レベルでは、ByteDance 自体がマルチクラウド アーキテクチャ モデルを採用しており、Volcano Engine を含む複数のクラウドを使用しています。コア機能の観点から見ると、Volcano Engine はトラフィック、境界、端末、アカウント、資産、権限など、関連するすべてのセキュリティ データ機能を備えており、外部に対して統合されたマルチクラウド管理とマルチクラウド データ セキュリティ スクリーニングを提供することもできます。これは、マルチクラウドのセキュリティ問題を解決するための全体的なアイデアとアーキテクチャです。

この点に関して、Volcano Engine は、ByteDance のビジネス実践の中で長年にわたって蓄積されてきたセキュリティ戦略を要約しました。

クラウド移行の初期段階では、Volcano Engine 製品は 10 分以内に複数のクラウドにまたがり、資産の潜在的なリスクを完全に把握できます。企業がクラウドに移行する場合も、異なるアカウントが必要になります。統一された戦略とインターフェースを通じて、グループのセキュリティ対策とセキュリティ要件をすべてのアカウントにタイムリーに届けることができます。問題が発生すると、グループは異なるクラウドや異なる IDC 間のセキュリティ保護機能の違いをすぐにカバーできます。

脆弱性修復に関しては、わずか 2 ステップで数千のリスク資産を一括修復できます。マルチクラウド セキュリティに組み込まれたクイック修復スクリプトは、マルチクラウド セキュリティ ポリシーの 90% をカバーし、増分セキュリティ機能の自動強化、過去の不正な構成評価の使用頻度、クラウド アセット全体にわたるきめ細かい操作サポート、追加操作なしでのマルチクラウドの違いの自動区別など、構成の機密性に基づいた複数の修復方法を提供できます。

資産作成に関しては、セキュリティのベストプラクティスに従って、ワンクリックで資産作成を行うことができます。業務をクラウド上に置きたい場合は、クラウド上のDBやホストなどを申し込む必要があります。この権限は、事業運営・保守および研究開発担当者に与えられます。そのため、リスクを防ぐためにはリアルタイムで情報を察知する必要があります。リアルタイムの監視とスキャンにより、運用・保守担当者やセキュリティ担当者が運用のすべてのステップを記録できるようになります。たとえば、誰がポートを開いたか、誰がリモートデスクトップを開いたかなどがすべて明確に記録されます。これにより、セキュリティ担当者の懸念が軽減され、リスクが可視化され、制御可能になります。

リスク検知に関しては、クラウド資産を総合的に保護するために 4 種類の侵入検知エンジンが組み込まれています。 Volcano Engine は、さまざまなクラウド製品やセキュリティ製品と互換性があります。可視化により、マルチクラウド環境でのセキュリティインシデントの処理効率が向上します。その中で、ByteDanceはカーネルをベースにした長期的なオープンソース端末セキュリティプロジェクトを立ち上げました。セキュリティ検出機能、安定性、パフォーマンスの面では、基本的に中国でトップレベルであり、誤ったコードの記述によるビジネスへの重大な影響を回避することができます。

リスク管理の面では、クラウド間の共同管理を通じてリスク ループが閉じられます。侵入イベントや警報に遭遇した場合、最初にすべきことはそれが現実のものかどうかを判断することです。アラームのノイズと精度を向上できることは、企業のセキュリティ レベルが向上したことを示す重要な兆候です。 ByteDanceの事業は世界中に広がっており、異なる地域、異なるトラフィック入口、異なる端末規模での配信によって、多数の警報イベントが発生しています。 Volcano Engine は、ノイズ低減とストップロスの体験を最適化するために長い時間をかけて改良され、製品に統合されました。視覚化を使用して、注意が必要なアラームを正確に識別し、強化およびブロック操作のガイダンスを提供し、止血、予防、ノイズ低減、自動化の閉ループを形成します。

セキュリティ運用の観点では、応答時間と脆弱性の修復の両方が重要です。 Volcano Engine は、豊富な外部拡張互換性機能を提供し、企業のネイティブ オフィス ソフトウェア、作業指示プロセス、メッセージ センターなどへの接続をサポートし、オープン インターフェイスを使用して企業独自のセキュリティ プロセスをスムーズに接続し、組織の効率を向上させます。

コンプライアンスの問題に関しては、Volcano Engine は、IP、監査、コンプライアンスの観点から規制を満たす必要がある大量の経験や戦略テンプレートをユーザーに提供します。 30 を超えるコンプライアンス評価フレームワークが含まれており、Information Security Protection 2.0、NIST、SOC2、PCI-DSS、およびさまざまな CIS 標準に自動的に準拠します。

Volcano Engine は、ByteDance のマルチクラウド セキュリティ運用の一連の実践と調査に基づいて、マルチクラウド セキュリティ プラットフォーム製品もリリースしました。これらはすべて、ByteDance の長期にわたるビジネス実践から集約された最良のソリューションです。これで終わりではありません。 Volcano Engine は今後も ByteDance を活用して、より豊富で安定した、より安全で信頼性の高いクラウド セキュリティ製品を開発し、ユーザーに優れたサービスを提供していきます。