クラウド コンピューティング ベンダーのセキュリティ ガイド: 時間をかける価値はありますか?

この記事では、AWS、Azure、Google Cloud が提供するクラウド セキュリティ ガイドとリソースを詳しく検討し、新人アーキテクトと経験豊富なアーキテクトの両方にとっての価値を明らかにします。

クラウド セキュリティ アーキテクチャの 2 回目の反復を完璧にするのは簡単です。本当の課題は、適切な最初の反復を行うことです。前者が平均的な場合、エンジニアは構成を再調整するか、最初から実装するために数週間を費やす必要があります。さらに悪いことに、企業の初期のクラウド セキュリティ体制には、エメンタール チーズよりも多くの穴がある可能性があります。

クラウド ベンダーは、クラウド セキュリティのあらゆる詳細を説明する何千もの記事、チュートリアル、Web ページを提供しています。しかし、最初の設計では、セキュリティ アーキテクトがクラウド資産を保護するための「大きな設計」を体系的に開発できるようにすることが最も重要です。そして、このアプローチは、経験豊富なアーキテクトと、特定のクラウドを初めて使用するアーキテクトの両方にとって役立つはずです。

では、AWS の Well-Architected Framework、Google Cloud Security Foundations ガイドライン、およびさまざまな Microsoft Azure フレームワークはどれほど価値があるのでしょうか?これらの人気ベンダーが提供するセキュリティ ガイダンスについて詳しく見ていきましょう。

Google Cloud セキュリティ基盤ガイド

Google の 130 ページにわたる GCP セキュリティの基礎ガイドでは、ドキュメントの中央部分全体で、Google の GCP セキュリティ哲学、原則、サンプルの GCP 環境が例として紹介されています。ネットワーク、アイデンティティおよびアクセス管理 (IAM) から課金およびアプリケーション セキュリティに至るまで、セキュリティ関連の 8 つのトピックについて詳しく説明します (サブセクション II.5-II)。 12、図1参照）。これらすべてのサブ章の中心となるのは、アーキテクチャのブループリントとセキュリティ アーキテクチャ パターンです。

最も恩恵を受けるのは誰でしょうか?

ドキュメント スタイルを視覚化します。大きなアーキテクチャ ダイアグラム、説明テキスト、正確な構成設定の詳細を含む表です。モットーは「設計図を見せて説明する」です。したがって、GCP を初めて使用するセキュリティ アーキテクトや、これらのセキュリティ トピックのいずれかを初めて扱うセキュリティ アーキテクトは、初期の Well-Architected 設計パターンからメリットを得ることができ、それを特定の企業環境に合わせて変更およびカスタマイズできます。

AWS Well-Architected フレームワーク

Amazon は 2015 年に早くも AWS Well-Architected Framework を開始しました。当初は 5 つの柱で構成されていましたが、現在は運用の卓越性、安全性、信頼性、パフォーマンス効率、コスト最適化、持続可能性の 6 つの柱で構成されています。近年、AWS はこれらの柱にテクノロジーと業界特有の視点を補完してきました。

セキュリティの柱に関する AWS フレームワークのドキュメントは 155 ページに及び、66 のセキュリティトピックを詳細に説明しています。セキュリティ基盤、ID およびアクセス管理、検出、インフラストラクチャ保護、データ保護、インシデント対応、アプリケーション セキュリティという 7 つの領域におけるニーズについて説明しています。その構造は GCP とは異なる場合があります。ただし、主な違いは AWS がトピックを提示する方法にあります。

GCP ではアーキテクチャの青写真が説明の中心になりますが、AWS では (ほぼ) 図なしで適切に設計されたフレームワークが提供されます。 AWS は、図 4 に示すように、非常に厳格な構造に従います。すべてのトピックに同じことが当てはまります。つまり、望ましい結果とアンチパターン (つまり、一般的に見られる悪い設計) の後に、特定のトピックに適切に対処しなかった場合の結果を説明する簡単なリスク ステートメントが続きます。次は、タスクと手順を含む実装ガイドです。トピックの説明の最後には、追加の洞察を提供し、密接に関連する他の A​​WS フレームワークのトピックを強調する他の記事へのリンクが提供されます。

最も恩恵を受けるのは誰でしょうか?

では、AWS フレームワークは誰に役立つのでしょうか?どうやら、それはすべてのプロジェクト マネージャーの親友のようです。セキュリティ アーキテクトが提供し、エンジニアが実装する必要がある設計を示します。ただし、フレームワークには後者の目的に役立つ可能性のある情報へのリンクが含まれていますが、アーキテクトは、デザインやパターンがソリューションの設計に役立つとは期待しないでください。

Azure セキュリティ ドキュメント

Azure には、1 つではなく、競合し重複する複数のフレームワークとアプローチがあります。具体的には、Well-Architected Framework、アーキテクチャ センター、Azure セキュリティの基礎に関するドキュメントがあります。図 5 に示すように、後者には、クラウド ソリューションのセキュリティ保護と Azure リソースのセキュリティ保護という、セキュリティ アーキテクチャの中核となるトピックに重点を置いた 2 つのセクションがあります。どちらのセクションも複数の Web ページにリンクしています。クラウド セキュリティのベスト プラクティスの場合、ネットワークから PaaS セキュリティまで、さまざまなセキュリティ領域がカバーされます。各ページではサブトピックが紹介され、通常は「範囲が広すぎる許可ルールを割り当てない」や「SSO を有効にする」などのベスト プラクティスが 1 文で要約され、その後にさらに簡単な説明が続きます。しかし、Azure セキュリティの基礎ドキュメントは、セキュリティ アーキテクトが作業を構築し、セキュリティ アーキテクチャを設計するのにどのように役立つのでしょうか?

最も恩恵を受けるのは誰でしょうか?

このドキュメントでは、基本的なトピックについて優れた説明が提供されており、読者はリンクをクリックして他の記事を読んで、セキュリティ トピックの全体的な理解を深めることができます。しかし、ブリタニカ百科事典の関連する記事をすべて読むだけでは、土木工学を効果的に学ぶことはできません。同様に、初心者の Azure セキュリティ アーキテクトは概念を学習しますが、このドキュメントを参照しても方法論を学習したり、ヒューリスティックなタスク リストを取得したりすることはできません。また、さまざまな Azure クラウド コンポーネントとセキュリティ サービス間の相互作用を説明するアーキテクチャ図もありません。

また、Microsoft のアーキテクチャ ブループリントのコレクション (Azure アーキテクチャ) についても言及する価値があります。その多くは、セキュリティ関連のトピックをカバーしています (例: 「Azure ネットワーク セキュリティによる MLOps ソリューションのセキュリティ保護」)。繰り返しになりますが、これらはよく書かれており、有益です。これらは、建築家やエンジニアが特定のトピックや非常にニッチなトピックに関するベストプラクティスの設計を理解するのに役立ちます。ただし、ブループリントのプレゼンテーションは、セキュリティ アーキテクトが最初の IaaS または PaaS データ センターをセットアップするのに役立つ体系的な紹介ではありません。

次に、Azure Well-Architected Framework があります。 5 つの柱があり、そのうちの 1 つは安全性に重点を置いています。セキュリティの柱は、アイデンティティ管理、インフラストラクチャの保護、アプリケーション セキュリティ、データ主権と暗号化、リソースのセキュリティ保護という 5 つの領域をカバーしています (図 6)。 AWS とは異なり、Azure フレームワークでは構造化された要件リストは提供されません。代わりに、概念と追加リソースへのリンクを簡単に説明しますが、セキュリティ エンジニア、プロジェクト マネージャー、またはアーキテクトが直接実行できるものではありません。

結論

Azure では、セキュリティ関連および非セキュリティ関連のあらゆる機能に関する多くの学習リソースとドキュメントが提供されていますが、セキュリティ アーキテクトの学習曲線は急峻です。アーキテクトは、セキュリティ ドメインを自ら構築し、全体的な設計の中でさまざまなトピックをどのように処理するかを検討する必要があります。対照的に、GCP のセキュリティの基礎ガイドでは、主要なセキュリティ領域におけるさまざまなクラウド セキュリティ機能とコンポーネントの相互作用に対応する、基本的な既成のアーキテクチャ ブループリントが提供されます。最後に、AWS Well-Architected Framework があります。これは、プロイセン風のクールさ、ユーモアのなさ、要点の明確さ、そして過剰に構造化されたものです。明確な概要と実行すべきことのリストを提供します。他のクラウドの初期作業パッケージ定義の入力として再利用することもできます。