異なるクラウド インフラストラクチャ間で一貫したセキュリティを確保する方法

異なるクラウド インフラストラクチャ間で一貫したセキュリティを確保する方法

クラウド セキュリティの管理における可視性の役割と、それが今日の CISO が直面している大きな課題である理由についてお話しいただけますか?

クラウド インフラストラクチャの性質上、クラウド攻撃者より一歩先を行くには、セキュリティ体制の可視性が重要です。クラウド インフラストラクチャは主に API 駆動型であり、主に広範な攻撃対象領域に分散された動的リソースで構成されています。これらの要因とその他多くの要因の組み合わせは、効果的なクラウド セキュリティにとって大きな課題となります。したがって、クラウド セキュリティを確保するための中核的な要件は、信頼性の高い可視性を実現することです。ログ記録と監視のメカニズムの実装、クラウド リソースと構成のすべての変更を追跡する変更管理ポリシーの有効化、脅威検出とインシデント対応ポリシーの実装など、いくつかのメカニズムを活用して可視性を高めることができます。

DevOps の動的な環境、特にマイクロサービスとコンテナの導入により、クラウド環境の明確な可視性を確保する複雑さはどのように増大するのでしょうか?

マイクロサービスとコンテナには利点があるものの、複数の抽象化レイヤーが導入され、クラウドネイティブ システムの複雑さが増します。 Kubernetes セキュリティ チームは、この現象を説明するために「クラウド ネイティブ セキュリティの 4C」という概念を使用しています。マイクロサービスとコンテナは、さまざまな種類の通信プロトコルを含む複数のテクノロジーで構成されるさまざまな抽象化レイヤー上で動作します。セキュリティ メカニズムは通常、特定のテクノロジにおけるセキュリティの問題に対処するために設計されます。

したがって、抽象化レイヤーでのセキュリティ メカニズムの有効性が制限されます。最終的に、クラウドネイティブ インフラストラクチャでは、可視性を実現するためにいくつかのセキュリティ メカニズムが必要になります。ただし、これらのセキュリティ メカニズムは独立して動作することが多く、統一された可視性を提供することが困難です。これらの課題を克服するには、さまざまな抽象化レイヤーのさまざまなセキュリティ メカニズムにわたって通信チャネルを展開する必要があります。さらに、マイクロサービスとコンテナは動的に設計されているため、追跡と可視性の確保が困難です。

脅威アクターが誤った構成を利用して企業に侵入する傾向が高まっていることを考えると、クラウド環境におけるこれらのリスクを軽減するために CISO はどのような戦略を採用すべきでしょうか?

脅威の蔓延と巧妙化は急速に進行しており、これは多くの企業にとって重大な懸念事項となっています。これらの課題を克服するための万能なアプローチは存在せず、十分なセキュリティ予算を持つ確立された企業であっても、その影響を免れることはできません。したがって、解決策としては、クラス最高のセキュリティ ソリューションを導入するのに十分な予算を持つだけでは不十分です。基本的なセキュリティ設定は、関連するリスクを軽減するための基礎となります。企業はサイバーセキュリティの文化を育むことでこれを保証する必要があります。さらに、100% の安全性を保証することはできないため、「想定デフォルト」の概念が不可欠です。

企業は、セキュリティ メカニズムの効率を継続的に検証するセキュリティ メカニズムを実装する必要があります。セキュリティ カオス エンジニアリング、敵対者シミュレーション、脅威ハンティングなど、いくつかのセキュリティ ソリューションを活用して、セキュリティの有効性を継続的に検証できます。最後に言及したいのは、サイバーセキュリティからサイバーレジリエンスへの移行です。サイバーセキュリティは攻撃を検出して防止することを目的としているのに対し、サイバーレジリエンスは、逆境に直面してもビジネスの継続性を維持しながら、攻撃を阻止または適応する能力を推進します。

複数のパブリック クラウド、プライベート クラウド、オンプレミス環境を使用すると、管理の複雑さと運用コストがどのように増加するのでしょうか。

複数のパブリック クラウド、プライベート クラウド、オンプレミス環境を使用すると、さまざまな課題が生じ、企業の管理の複雑さと運用コストが増加します。マルチクラウド環境とハイブリッド環境は、柔軟性、拡張性、回復力などさまざまな利点を提供しますが、同時に、慎重に管理する必要がある固有の複雑さも伴います。オンプレミス環境を含む複数のパブリック クラウドとプライベート クラウドを使用するということは、異なる API、テクノロジーなどを使用する異なるインフラストラクチャを意味します。

このような多様な環境で一貫したセキュリティ体制を維持することは非常に困難です。各クラウドのセキュリティ メカニズムは異なり、それらを管理するために必要なスキルも異なります。この多様な環境の影響は、人、プロセス、テクノロジーに及び、攻撃者が悪用できる盲点を生み出す可能性があります。同様に、この多様なインフラストラクチャ全体で公開される攻撃対象領域は、ガバナンス上の課題をもたらします。

企業がクラウド サービスをアドホックに追加する際に直面する可能性のある問題について説明していただけますか?この慣行をどのように改善できるでしょうか?

クラウド サービスは企業に多くの価値をもたらします。ただし、クラウド サービスを追加する決定には、機能的な観点だけでなく、セキュリティの観点からもガバナンスと考慮が必要です。特にクラウド サービスには重複する機能があることが多いため、デフォルトでのセキュリティの概念を順守する必要があります。したがって、適切な計画なしにサービスを追加すると、冗長性、リソースの浪費、既存の攻撃対象領域の拡大につながる可能性があります。

これらの問題は、セキュリティ アーキテクチャと設計のレビュー、およびこれらのサービスの必要性を正当化するための脅威モデリング演習など、いくつかのセキュリティ プラクティスを採用することで回避できます。この問題に対する他のアプローチとしては、クラウド サービス プロバイダーが提供するサービスを使用して企業全体のポリシーを適用することが挙げられます。このようなサービスを使用すると、厳格なガバナンスを適用して、事前に計画されていなかったクラウド サービスの意図的な使用や誤った使用を回避できます。

複数のパブリック クラウド、プライベート クラウド、オンプレミス環境を含むハイブリッド展開を管理するために必要な専門知識を持つ IT チームはほとんどないため、CISO は潜在的な問題にどのように備えればよいのでしょうか。どのようなトレーニングやスキルアップを行うことができますか?

現在、業界が直面している大きな課題は、十分なスキルの不足です。この課題に対処するには、教育予算の提供や、職員が職務に関連する知識やスキルを習得するための研修機会の提供など、いくつかの対策を講じることができます。企業向けのクラウド トレーニング プログラムを提供するオンライン トレーニング プログラムがいくつかあります。企業は、このようなプログラムに加入し、従業員に登録と参加を奨励することで、これらの機会を活用できます。

さらに、企業内でクラウド トレーニングを開催し、外部または内部の専門家を招いて知識を共有することもできます。これは、従業員のクラウド コンピューティング スキルを強化するための理論と実践の組み合わせになります。

<<:  Ray を使用してクラウドネイティブ シナリオで分散システムを迅速に構築する方法

>>:  ガートナー:中国のクラウド価格戦争はインフラと運用のクラウド戦略を変える

推薦する

第3四半期の最も安いVPSランキング

以下は、今年第 3 四半期の格安 VPS のトップ 20 リストです。複数の企業と複数のデータ セン...

中国科学院アリババクラウド、中国初の超伝導量子プロセッサをリリース

2月22日、中国科学院量子情報・量子技術研究所とアリババクラウドは、超伝導量子コンピューティングの分...

大規模クラウド移行の課題と推奨事項

多くの企業は、パブリック クラウドが顧客に提供できる規模の経済のメリットを享受するために、ワークロー...

hostsolutions ルーマニアの安価な苦情耐性 VPS ホスティング、著作権制限なし、コンテンツホスティングなし

インターネット上には、さまざまな理由でグレーゾーンのビジネスをしている人々が常に存在します(たとえば...

Red Hat 2018 テクノロジー オープン デー: オープンソースの本質は文化、コミュニティ、コラボレーションにあります

[51CTO.com からのオリジナル記事] Red Hat は、コミュニティ主導のアプローチで信頼...

BAT の資本収益で最大の勝者は誰でしょうか?

アリババの今後のIPOが実現すれば、それは富と資本の新たな神話の台頭を意味し、BATもすべて同じよう...

成功するウェブサイト運営の3つの要素シリーズ:ポジショニング

今ではウェブサイトを構築するのは簡単ではないというのが共通認識です。SEO業界のウェブマスターであっ...

ウェブサイトBaiduの重みの構成要素を分析する

Baidu の重み値は、Baidu の重みをデータに基づいて表現したものです。Google PR と...

高級品Eコマース:供給が致命的な問題となり、変革に失敗した場合は閉鎖される

【はじめに】高級品電子商取引は誤った提案です。国内の高級品ウェブサイトの多くは、当初は海外のモデルを...

検索エンジンがない場合でも、Web サイトの最適化を行う必要がありますか?

少し前、私は突然とても落ち込んでしまい、「検索エンジンがなければ世界はどうなるだろう」と考えていまし...

ユーザーと友達になる - ネットワークマーケティングのやり方の簡単な分析

ユーザーは、Web サイトやフォーラムの存続の基盤です。ユーザーのいない Web サイトやフォーラム...

マッシュルーム:韓国のVPS、200Mの帯域幅、無制限のトラフィック、月額320元

Mushroom Host、韓国のVPSを使いたい人は、この会社について少し知っておく必要があります...

KubeSphereはForresterレポートで選ばれ、「フルスタックコンテナプラットフォーム」として評価されました

Forrester Researchは最近、「Now Tech: 中国のエンタープライズ コンテナ ...

知らせ! 悪いレビューでブランドを台無しにしないようにしましょう

近年、「マーケティングを製品中心から消費者・顧客中心に転換する」という理論が、企業の意思決定者の間で...

SEO実践コード学習体験(パート1)

私は1年間SEOを勉強し、いくつかの基本的な概念を習得しました。私は常にSEOの専門家だと思っていま...