5 種類のクラウド環境に対する包括的な防御ガイド

翻訳者 |ジン・ヤン

レビュー |チョンロウ

組織にはさまざまなクラウド展開オプションがあり、それぞれに独自の機能とセキュリティ上の課題があります。この記事では、パブリック クラウド、プライベート クラウド、ハイブリッド クラウド、マルチクラウド、マルチテナント クラウドという 5 つの主要なクラウド セキュリティ環境の主な特徴、セキュリティ上の脅威、ベスト プラクティスについて説明します。

1. パブリッククラウド環境

パブリック クラウド アーキテクチャは、クラウド サービス プロバイダーによってホストされる共有インフラストラクチャです。パブリック クラウドを使用すると、複数の企業がインターネット上の共有プールを通じてリソースを共有できるようになります。パブリック クラウド プロバイダーは環境をホストおよび管理し、スケーラビリティとコスト効率を実現します。これらのクラウド リソースを保護する責任は共有されており、クラウド プロバイダーがインフラストラクチャのセキュリティを担当し、顧客がアクセス、アプリケーション セキュリティ、およびデータ管理の責任を負います。この責任共有パラダイムでは、クラウド環境の整合性を維持する責任の大部分をユーザーが負います。

1. パブリッククラウドのセキュリティリスク

パブリック クラウド システムは拡張性、柔軟性、コスト効率に優れていますが、適切に保護されていない場合は重大なリスクが生じる可能性もあります。すべてのクラウド (および IT) 環境には共通のセキュリティ問題とソリューションがありますが、パブリック クラウド ユーザーにとっては、コンプライアンス、アクセス制御、適切な構成方法が特に重要です。

データ侵害

実装方法: 機密データへの不正アクセスは、アクセス権限の欠陥や保護されていないデータやインスタンスなどの脆弱性や誤った構成によって発生する可能性があります。

予防: 強力な暗号化、アクセス制限、データ分類、安全な接続、インシデント対応ポリシーを実装します。

不十分なアクセス制御

仕組み: 権限が不適切に構成されていると、権限のない個人がアプリケーションやデータにアクセスでき、データ侵害やその他のセキュリティ リスクが発生する可能性があります。

予防: 最小権限の原則または「ゼロ トラスト」の概念を適用し、頻繁にアクセス監査を実施し、ID およびアクセス管理 (IAM) ツールを使用します。

安全でないAPIとクラウドインターフェース

仕組み: 脆弱な API や適切に保護されていないクラウド インターフェースは簡単に悪用され、データの漏洩や侵害につながる可能性があります。

予防: API セキュリティのプラクティスとツールを実装し、定期的に脆弱性テストを実行し、厳格なアクセス制御を実施します。

アカウントの乗っ取り

仕組み: 攻撃者は盗んだユーザーの資格情報を使用して不正アクセスを取得し、アカウントやデータの不正アクセスや悪用につながる可能性があります。

予防: 多要素認証 (MFA) を要求し、パスワードのセキュリティについてユーザーに教育し、アカウントの不審なアクティビティを定期的に監視します。

不十分な記録と監視

実装方法: 適切なログ記録と監視がなければ、セキュリティ インシデントをリアルタイムで検出することが難しく、クラウド環境が脆弱になります。

予防: クラウド ログを有効にし、SIEM システムを使用してネットワークとシステムのアクティビティを継続的に監視します。

DDoS攻撃

仕組み: 分散型サービス拒否 (DDoS) 攻撃はクラウドおよびネットワーク システムに過負荷をかけ、アクセスを妨害し、業務停止を引き起こします。

防止: DDoS 保護サービスを使用し、トラフィック フィルタリングをインストールし、追加のトラフィックを処理するコンテンツ配信ネットワーク (CDN) を展開することで、DDoS 攻撃を防止および軽減できます。

データ損失

仕組み: 不注意によるデータの削除、破損、盗難は、回復不可能なデータ損失、業務の中断、機密データの漏洩につながり、データ プライバシー規制に違反する可能性があります。

予防: データを定期的にバックアップし、データ分類および保持ポリシーを策定し、バージョン管理機能を活用し、データ損失防止 (DLP) ツールを使用し、従業員にデータ管理とポリシーのコンプライアンスについて教育します。

2. パブリッククラウド環境のベストプラクティス

パブリック クラウドの展開におけるセキュリティを強化するには、次の方法を検討してください。

• 強力な認証を採用: 多要素認証 (MFA) により、不正アクセスを防止するための検証レベルが追加され、ユーザーのログイン セキュリティが向上します。
• 定期的な更新とパッチ: 既知の脆弱性を防ぐために、ソフトウェアとアプリケーションを定期的にアップグレードしてパッチを適用し、クラウド環境を保護します。
• 継続的な監視: クラウド リソースを継続的に監視し、疑わしいアクティビティをリアルタイムで検出します。潜在的なセキュリティ侵害が発生したときに通知を受け取るためのアラートを設定します。
• セキュリティ ガイドラインと手順: 組織のクラウド アプリケーションを管理し、一貫性とコンプライアンスを確保するための包括的なセキュリティ ポリシーとプロセスを開発して実装します。
• データ分類: データの機密性に基づいてデータを分類し、適切なセキュリティ対策を講じます。このカスタマイズされたアプローチにより、データがその重要度に応じて適切に保護されることが保証されます。
• 従業員教育: クラウド セキュリティのベスト プラクティスとクラウドの使用に伴う可能性のあるリスクについて従業員を教育します。脅威に対する最初の防衛線は、十分な情報を持つ従業員であることを忘れないでください。

2. プライベートクラウド環境

プライベート クラウド環境では、リソースが単一のビジネス専用になるため、制御、プライバシー、セキュリティが強化されます。プライベート クラウドは、データ、アプリケーション、資産が専用環境で分離されているという追加の保証を提供します。それでも、プライベート クラウドのセキュリティには、他のクラウド環境と同じ対策の多くが必要です。

1. プライベートクラウドのセキュリティリスク

プライベート クラウド セキュリティのこれらの課題に対処するには、テクノロジー、プロセス、戦略的計画の組み合わせが必要です。

セキュリティの誤った設定

実装方法: プライベート クラウドも正しく構成する必要があります。誤った構成により、データ、アカウント、アプリケーション、その他の資産が漏洩する可能性があります。

予防: セキュリティ監査と脆弱性評価を頻繁に実行し、可能な場合は構成を自動化して人的エラーを減らします。クラウド セキュリティ ポスチャ管理 (CSPM) は、クラウド環境が正しく構成されていることを確認するための優れたツールです。

単一障害点

実装方法: 冗長性が不足すると、システムが停止する可能性があります。

予防: クラウド環境に冗長性、フェイルオーバー対策、負荷分散が含まれていることを確認します。

コンプライアンスの問題

実装方法: プライベート クラウドでは、特にデータの地理的な場所の問題を回避できる場合、コンプライアンスの問題は軽減される可能性がありますが、コンプライアンスの課題は依然として存在します。

予防: ガバナンス、リスク、コンプライアンス (GRC) ツールを使用してコンプライアンス要件を実装します。

2. プライベートクラウド環境のベストプラクティス

プライベート クラウド システムのセキュリティを確保するには、次のアプローチを検討してください。

• プライベート クラウド インフラストラクチャをセットアップします。特定のニーズと予算に応じて、オンプレミス展開とサードパーティ ホスティングのどちらかを選択します。いずれにせよ、セキュリティが最優先です。
• 仮想化を最適化: 柔軟性とリソースの分離を実現するために、仮想化やコンテナなどのテクノロジを使用できます。
• ネットワーク セグメンテーションを実装する: VLAN を作成して攻撃対象領域を減らし、各ネットワーク セグメントに対して特定のセキュリティ ルール、アクセス制限、ファイアウォールを有効にします。
• アクセス ルールを設定する: データとリソースへのアクセスを制限するには、厳格な認証、ロールベースのアクセス ルール、および権限を適用します。
• 機密データの暗号化: 安全なキー管理により、転送中および保存中のデータの暗号化を有効にします。
• 監視とログ記録: 異常やセキュリティ侵害をできるだけ早く検出して対応するには、継続的な監視、アラート、広範なログ記録を実装する必要があります。
• カスタム コンプライアンス ポリシー: 組織のニーズとコンプライアンス標準に固有のセキュリティ ポリシーを作成します。
• パッチの適用: 脆弱性に対処し、インフラストラクチャとアプリケーションを最新の状態に保つために、定期的なパッチ管理戦略を維持します。
• インシデント対応の実装: 侵害の検出、封じ込め、軽減、回復のための包括的なインシデント対応戦略を作成します。セキュリティ問題に迅速に対応できるように、明確なコミュニケーション ラインを確立します。
• フェイルオーバー メカニズムの確保: 高可用性とビジネス継続性を実現するために、冗長システムと災害復旧システムを維持します。
• トレーニング: 社内にセキュリティ文化を構築し、フィッシング防止やデータ管理などのセキュリティのベストプラクティスについて従業員を教育します。

3. ハイブリッドクラウド環境

ハイブリッド クラウド アーキテクチャは、パブリック クラウドとプライベート クラウドを統合します。これにより、企業は機密データをプライベート クラウドに保持しながら、パブリック クラウド リソースの柔軟性を活用できるようになります。これら 2 つの環境間でのデータ交換が可能であり、コスト効率とセキュリティのバランスが保たれます。ただし、この柔軟性には複雑さが伴うため、ハイブリッド クラウド セキュリティでは、オンプレミスとクラウドのセキュリティ制御を組み合わせて、環境内および環境間でデータを保護する必要があります。

1. ハイブリッドクラウドのセキュリティリスク

ハイブリッド クラウドにより、企業はパブリック クラウドの拡張性と柔軟性のメリットを享受しながら、自社のインフラストラクチャ内でより機密性の高いデータを保護できます。ただし、ハイブリッド クラウド セキュリティには固有の課題もあります。

責任の共有

実装方法: ハイブリッド クラウドでは役割と責任を特定することが重要であるため、責任を共有すると誤解が生じ、予期しないセキュリティ上の弱点が生じる可能性があります。

予防: 責任を理解し、インシデント対応を含むすべての環境にわたってデータ、アクセス、アプリケーションのセキュリティを管理します。

アプリケーションの脆弱性

実装方法: 複数の環境にわたるアプリケーション セキュリティを管理するには、侵害の可能性を防ぎ、ハイブリッド構成全体にわたってコンプライアンスを確保するために、一貫したルール、制御、認証、監視が必要です。

予防: 「シフトレフト」の原則を実装して、開発の初期段階にセキュリティを統合し、DevSecOps ツールを使用して問題と修正を追跡します。

データの損失と侵害

仕組み: ハイブリッド クラウドではデータが複数の場所に分散されるため、不正アクセスやデータ漏洩のリスクが高まります。

予防: データ暗号化、データ分類、アクセス制御の複雑さを慎重に管理する必要があります。暗号化を使用して転送中および保存中のデータを保護し、DLP およびアクセス管理ツールを使用してリスクを制御します。

コンプライアンスリスク

実装方法: 複数のベンダーとアーキテクチャのハイブリッド設定でコンプライアンス標準を満たすことは困難な場合があります。

予防: クラウド プロバイダーに組み込まれているコンプライアンス機能を有効にし、コンプライアンスと監査を自動化された監視およびレポートと組み合わせます。

統合の複雑さ

方法: クラウド システムの統合は、テクノロジの多様性、潜在的な競合、継続的なデータ フローの確保の必要性により困難になる可能性があります。

予防: 統合を慎重に計画し、シームレスなデータ フローを維持し、API と構成のベスト プラクティスを使用して、すべての環境でデータを保護します。

2. ハイブリッドクラウド環境のベストプラクティス

次のアプローチにより、ハイブリッド クラウド環境の利点を維持しながら適切に保護できます。

• トラフィックの暗号化と監視: 転送中および保存中のデータを暗号化して監視します。
• 構成の監視と監査: 設定を継続的に監視および監査して、ベスト プラクティスからの逸脱を検出し、コンプライアンスを確保します。自動化は安全な構成を維持するのに役立ちます。
• 脆弱性スキャン: 脆弱性スキャンを定期的に実行して、システムの欠陥を検出し、潜在的な攻撃に優先順位を付けます。
• セキュリティ パッチを適用する: セキュリティ アップデートは、既知の脆弱性を修正し、セキュリティを強化するために頻繁に使用されます。パッチのリリースから実装までの時間を短縮することで、サイバー攻撃の可能性を減らします。
• ゼロトラスト セキュリティの適用: ゼロトラスト セキュリティの原則に基づいて強力な認証とアクセス ルールを実装し、すべてのユーザーとデバイスを信頼できないエンティティとして扱い、最小権限のアクセスを優先します。
• 復旧計画の策定: 侵害の検出、封じ込め、軽減、復旧のためのインシデント対応戦略を作成します。
• エンドポイントのセキュリティ保護: エンドポイント検出および応答 (EDR) や多要素認証などのエンドポイント セキュリティ制御を実装して、デバイスおよびユーザーのアクセス ポイントでの不正アクセスやデータ侵害を防止します。

4. マルチクラウド環境

マルチクラウド環境では、複数のパブリッククラウドとプライベートクラウドを同時に使用できます。これらは設計上分散化されており、アプリケーションとデータは複数のクラウド プロバイダーに分散されています。冗長性、コストの最小化、柔軟性はすべて利点ですが、異なるプロバイダー間でセキュリティを維持することは複雑になる可能性があり、統一されたセキュリティ ソリューション、ポリシー、保護プラクティスが必要になります。

1. マルチクラウドのセキュリティリスク

マルチクラウド環境の柔軟性と拡張性の利点を得るために、企業はさまざまな困難に直面しますが、その中でも特に大きな問題は、潜在的な攻撃対象領域がはるかに大きくなることです。ここでは、マルチクラウド セキュリティの主な脅威をいくつか紹介します。

クラウドアカウントの乗っ取り

仕組み: 攻撃者がクラウド アカウントに不正アクセスすると、データの盗難、リソースの操作、その他の悪意のある動作が発生する可能性があります。

予防: 強力な認証とアクセス制御、および適切な構成管理により、資格情報が盗まれた場合でもクラウド アカウントを保護できます。

データ侵害

仕組み: データが多数のクラウド環境に分散されているため、不正アクセス、データ漏洩、侵害のリスクがさらに高まります。

予防: 強力なアクセス制御と認証を実装し、各クラウド インスタンスが適切に構成されていることを確認します。

DDoS攻撃

仕組み: 防御する必要があるクラウド攻撃対象領域が広いため、DDoS 攻撃を防ぐのが難しくなる可能性があります。

予防: 継続的なサービスの可用性を確保するために、トラフィック フィルタリング、インフラストラクチャの強化、オーバープロビジョニングなどを通じて、DDoS の予防と軽減対策を実施できます。

アイデンティティとアクセス管理 (IAM) エラー

実装方法: 安全でないアカウントと過剰な権限は、不正アクセス、データ漏洩、リソースの不正使用につながる可能性があります。

予防: IAM ポリシーを合理的に構成し、定期的な監査を実施し、最小権限の原則に従い、特権アカウントを保護します。

サードパーティのリスク

仕組み: マルチクラウド システムでサードパーティのベンダーやサービスを使用すると、追加のリスクが生じる可能性があり、そのリスクはソフトウェア サプライ チェーンのソフトウェア依存関係にまで及びます。

予防: これらのリスクを適切に管理するには、サードパーティのリスク管理 (TPRM) ツールが最適な選択肢です。

可視性の欠如

実装方法: マルチクラウドには、他のクラウド コンピューティング アプローチと同じ課題が数多くありますが、環境が増えるにつれて課題も倍増します。

予防: クラウド環境全体のリスクを追跡できる可視性と監視テクノロジーを優先します。

2. マルチクラウド環境のベストプラクティス

マルチクラウド展開を保護するには、次の要素とアプローチを考慮した慎重な計画と明確な戦略が必要です。

• 責任を定義する: すべての環境にわたる組織とクラウド サービス プロバイダーのセキュリティ責任を理解します。
• セキュリティを早期に統合する: 「セキュリティをシフトレフト」の原則に従い、セキュリティをソフトウェア開発ライフサイクル (SDLC) にできるだけ早い段階で組み込みます。
• Infrastructure as Code (IaC): IaC を使用して、インフラストラクチャの一貫性、再現性、バージョン管理、セキュリティを確保します。
• 自動化: 自動化を使用して、ネットワーク ポリシーの更新、CVE の修復、アクセス認証の変更などの操作を簡素化および高速化します。
• 可視性と監視を優先する: 包括的な監視ソリューションを使用して、セキュリティ ポリシーが引き続き有効であり、進化する脅威に対応できるようにします。可視性とインシデント対応を改善するには、CNAPP や SIEM などのソリューションを検討してください。

5. マルチテナントクラウド環境

マルチテナント クラウド アーキテクチャは、最も一般的なパブリック クラウド アーキテクチャです。これにより、複数の顧客、つまり「テナント」が、データを分離したまま同じ環境を利用できるようになります。このアーキテクチャは、セキュリティと分離を維持するためにデータ交換が慎重に管理される Infrastructure as a Service (IaaS) および Platform as a Service (PaaS) 環境で頻繁に使用されます。マルチテナンシーの程度は、クラウド サービス プロバイダーのアーキテクチャと、ユーザーまたは組織の個々のニーズによって異なります。

1. マルチテナントのセキュリティリスク

マルチテナンシーによりコストが大幅に削減され、リソース効率も向上しますが、セキュリティとプライバシーに関する課題も数多く生じます。共有クラウド環境での安全な共存を確保するには、次の問題に対処する必要があります。

データ侵害と漏洩

実装方法: マルチテナント環境では、脆弱性、弱いパスワード、誤った構成、API、アクセス制御の問題がこれまで以上に重要になります。

予防: 強力なアクセス管理、認証、暗号化、適切な構成、従業員のトレーニングはすべて役割を果たします。また、問題を早期に検出するための DLP などのテクノロジーも役立ちます。

不正アクセス

実装: テナントの分離が不十分な場合、データの汚染や不正アクセスが発生する可能性があります。

予防: 仮想化、適切な制御と構成、クラウド ネットワークのセグメンテーションを使用して、テナントの分離を改善します。

コンプライアンスの問題

実行方法: 共有リソース、データの混在、さらにはクラウド サービスの地理的な場所により、規制基準を満たすことが困難になる可能性があります。

予防: クラウド サービス プロバイダーが組織の特定のコンプライアンス ニーズを満たせることを確認します。 DLP と自動データ分類は、適切なデータに適切な制御を適用するのに役立ちます。

2. マルチテナント環境のベストプラクティス

マルチテナント クラウド展開を保護する場合、アクセス制限、データ分離、コンプライアンスのすべてを優先する必要があります。具体的には、次のような戦略が考えられます。

• アクセス制御: ロールベースのアクセス制御 (RBAC) を使用してアクセスを制限できます。組織の変化に対応するために、アクセス制御を定期的に確認して変更してください。
• 監査証跡: 監査証跡と集中ログ管理ソリューションを実装して、ユーザーのアクションとシステム イベントを追跡し、疑わしいアクティビティを検出します。
• コンプライアンス管理: 業界固有のガイドラインと規制を満たすコンプライアンス機能を備えたクラウド サービスを選択します。
• データ暗号化: 強力な暗号化テクノロジーを使用して、保存中および転送中のデータを保護します。暗号化キーを安全に管理します。
• データ損失防止 (DLP): DLP システムを導入してデータの移動を監視し、機密データの漏洩を防ぐためのポリシーを適用します。
• インシデント対応計画: セキュリティ インシデント発生時の役割と責任を明確に指定するインシデント対応戦略を策定します。
• 定期的なパッチ適用: 脆弱性に対処するためにソフトウェア、オペレーティング システム、セキュリティ ツールが速やかに更新されるように、パッチ管理戦略を作成します。
• テナントの分離: テナントの分離には、Virtual Private Cloud (VPC) などの仮想化ツールを使用します。データの汚染や不正アクセスを防ぐには、ネットワークのセグメンテーションとアクセス制限を使用します。

結論

パブリック、プライベート、ハイブリッド、マルチクラウド、マルチテナントの各タイプのクラウド環境には、独自のリスクと要件が伴います。パブリック クラウドでの責任の共有からプライベート クラウドでのカスタマイズされた保護、ハイブリッド クラウドの戦略的バランス、マルチクラウドおよびマルチテナント環境の課題まで、強力なセキュリティ対策を採用することは、データを保護し、コンプライアンスとビジネス継続性を確保するために不可欠です。幸いなことに、クラウド サービス プロバイダーは一般的に、環境のセキュリティ保護に非常に優れています。組織は、それぞれの環境に応じてベストプラクティスを適用し、自らの役割を果たせば、データとリソースを保護しながらクラウド コンピューティングのメリットを享受できます。

原題: 5 種類のクラウド環境を保護する方法、著者: Maine Basan