AWS、Google Cloud、Azure: クラウド コンピューティング大手のセキュリティ機能の比較

AWS、Google Cloud、Azure: クラウド コンピューティング大手のセキュリティ機能の比較

CISO が直面している難問は、Amazon AWS、Microsoft Azure、Google Cloud の 3 大クラウド サービス プロバイダーのうち、どのプロバイダーが最も優れたセキュリティを提供しているかを判断することです。この質問には 2 つの部分があります。どれが自社のインフラストラクチャを最もよく保護しているか?では、企業がデータとアプリケーションを安全に保つのに最も役立つのはどれでしょうか?

パブリック クラウド セキュリティは、「責任共有」モデルに基づいて構築されています。大規模なクラウド サービス プロバイダーは安全なハイパースケール環境を提供しますが、クラウドに移行するすべてのものを保護するのは顧客の責任です。企業にとって、セキュリティ責任の分離は、単一のクラウド プロバイダーを使用する場合でも十分に面倒ですが、マルチクラウド環境を導入する場合はさらに複雑で困難になります。

ベテランのセキュリティ専門家である Andy Ellis 氏は、次のように述べています。「共有責任モデルは非常に明確でシンプルに見えますが、精査に耐えるものではありません。企業にとって、クラウド プラットフォームとそこで実行されるアプリケーション間の接続を解析するのは非常に困難です。実際には、顧客がクラウド サービスをどのように構成するかが、アプリケーションのセキュリティにとって重要です。顧客が直面する可能性のある厄介な状況は数多くあります。」

しかし、クラウド サービス プロバイダーの責任と顧客の役割を隔てる壁は崩れ始めています。 ESGのシニアアナリスト、メリンダ・マークス氏は、クラウドサービスプロバイダーは差別化を図るために、責任共有モデルの欠陥を認識し、顧客とのより協力的な関係を構築しようとしていると述べた。

では、CISO は、3 大クラウド サービス プロバイダーがこれらの問題にどのように対処し、安全で回復力のあるクラウド プラットフォームを提供するかという点において、どのように違いがあるかをどのように判断できるでしょうか。

各ベンダーの詳細に入る前に、Securosis のアナリスト兼 CEO である Richard Mogull が挙げた 3 つの基本的な出発点を以下に示します。

1. ビッグスリーは社内のプロセスや手順を秘密にする傾向があります。これらはすべて、データセンターの物理的なセキュリティを保護し、内部者による攻撃を防御し、アプリケーションと開発プラットフォームの運用をサポートする仮想化レイヤーを保護するという優れた機能を備えています。

2. クラウドは本質的に新しいタイプのデータセンターであり、各クラウド サービス プロバイダーはテクノロジーと実際の実装の詳細の点で根本的に異なります。企業にとって最善の選択肢は、従業員のトレーニングに投資して、これらのクラウド環境で業務を遂行するための専門知識を習得できるようにすることです。

3. 各ベンダーのプラットフォームの詳細を超えて、市場シェアは、サードパーティツールの最も幅広い範囲、最も深い知識ベース、および最大のコミュニティを持つことと相関関係にあると Mogull は考えています。分析会社Canalysによる2022年第1四半期のクラウドサービス収益の分析によると、AWSは33%の市場シェアを持ち、Azureは21%で2位、Googleは8%で3位となっています。

Google Cloud: 「責任の共有」から「運命を共有するコミュニティ」へ

Google のスローガンが最も印象に残っているのは、共有責任モデルの再定義です。 Google は「運命の共有」という新しい用語を作り出した。

Google の CISO である Phil Venables 氏は、次のように述べています。「責任共有モデルでは、脅威の検出、構成のベスト プラクティス、セキュリティ違反や異常なアクティビティに関するアラートを誰が担当するかという特定の側面について「不確実性」が生じます。運命共有は、クラウド サービス プロバイダーとその顧客とのより緊密なパートナーシップを構築するための次の進化的ステップを表しており、これにより誰もがデジタル変革の約束を果たしながら、現在のセキュリティ上の課題や増大するセキュリティ上の課題に適切に対処できるようになります。」

Fate の共通機能には、安全な基盤を確保するために設計されたデフォルト構成、顧客が製品やサービスをより簡単に構成できるようにするためのブループリント、インフラストラクチャ全体でポリシーの意図を自動的に有効にするセキュリティ ポリシー階層が含まれます。さらに、Google には、Google Cloud ワークロードに特化した保険を提供する保険会社とクラウド顧客を結び付け、独自のリスク管理コンポーネントを提供するプログラムがあります。

ビッグ3と比較すると、Googleは興味深い立場にいます。モグル氏は、Google Cloud は Google の長年にわたるエンジニアリングとグローバルな運用に基づいて構築されており、それが素晴らしいと指摘した。

しかし、モグル氏は、Google のクラウド コンピューティング市場シェアが 8% であることは問題であり、これは Google Cloud に関する深い経験を持つセキュリティ専門家が少なく、コミュニティの堅牢性とツールが劣っていることを意味していると指摘しました。全体的に、Google Cloud は AWS ほど成熟しておらず、同様の広範なセキュリティ機能を備えていないと彼は述べた。

Google はこの問題の解決に取り組んでおり、最近「目に見えないセキュリティ」と呼ぶコンセプトを発表しました。 Google は、顧客がサードパーティのツールにあまり依存しないように、クラウドネイティブのセキュリティ サービスを継続的に拡張していく予定です。

一例として、Google の Cloud IDS が挙げられます。これは、企業が数回クリックするだけで導入でき、マルウェア、スパイウェア、コマンド アンド コントロール攻撃、その他のネットワークベースの脅威から身を守ることができるホスト型侵入検知システムです。

Microsoft Azureはマルチクラウドのセキュリティ問題に焦点を当てています

Microsoft は、Azure、AWS、Google Cloud 全体でクラウド セキュリティ ポスチャ管理 (CSPM) とクラウド ワークロード保護 (CWP) を提供する Microsoft Defender for Cloud をリリースし、マルチクラウド環境の保護という課題に対処する取り組みを開始しました。

これらのツールの目的は、クロスクラウド構成の弱いリンクを見つけ、全体的なセキュリティ体制を強化し、マルチクラウドおよびハイブリッド環境全体で進化する脅威からワークロードを保護することです。 Microsoft Defender for Cloud は、仮想マシン、コンテナー、データベース、ストレージ、アプリケーション サービスをカバーします。

ただし、Azure クラウドでは共有責任モデルが依然として存在します。企業は、自社のデータと ID、オンプレミスのリソース、エンドポイント、アカウント、アクセス管理のセキュリティに対して引き続き責任を負います。

モグル氏は、特に一貫性、ドキュメント、そして多くのサービスが安全でないデフォルト設定を使用しているという事実の点で、Azure は成熟度の点で AWS にわずかに遅れをとっているだけだと述べた。しかし、Azure にはいくつかの利点があります。 Azure Active Directory を企業の Active Directory にリンクすると、承認とアクセス許可の管理に関する単一の信頼できるソースが提供され、すべてを単一のディレクトリから管理できるようになります。 Mogull 氏は、Azure の ID およびアクセス管理は階層化されており、すぐに使用でき、AWS よりも管理しやすいと考えています。

市場の勢いに関して、マイクロソフトが力強く成長しているのは、企業顧客との既存の関係を活用する方法を知っているからだ、とモグル氏は語った。しかし、マイクロソフトは純粋なセキュリティベンダーのようにセキュリティをDNAに組み込んでいるわけではないことを企業は考慮すべきだと同氏は警告した。

Amazon Web Services(AWS)は、幅広いセキュリティツールを提供しています。

最も古く、最も支配的なクラウド サービス プロバイダーとして、AWS は知識とツールにおいて絶対的な優位性を持っています。 「答えを得たり、助けを求めたり、サポートのためのツールを見つけたりすることがより簡単になった」とモグル氏は語った。 「これは AWS プラットフォーム全体の成熟度にとって基本的なことです。」

AWS にはサードパーティベンダーの大規模なマーケットプレイスがあり、さまざまなアドオン製品のほか、コンサルティング、トレーニング、認定サービスも提供しています。マークス氏は、AWS が自社の機能に多大な配慮を払っていると指摘した。一例として、Inspector があります。これは、Amazon EC2 インスタンスとコンテナイメージを継続的にスキャンして、ソフトウェアの脆弱性や意図しないネットワークの露出を検出するサービスです。

Amazon GuardDuty は、AWS アカウントとワークロードを継続的に監視して悪意のあるアクティビティを検出し、可視性と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービスです。

これらの追加サービスおよびその他のサービスは、AWS Security Hub の傘下にあり、AWS のサービスおよびサードパーティのパートナーからセキュリティデータを収集し、顧客のセキュリティ体制の包括的なビューを提供します。

Mogull 氏は、AWS の最も優れたセキュリティ機能の 2 つは、セキュリティ グループ (ファイアウォール) と詳細な IAM の優れた実装であると付け加えました。ただし、AWS セキュリティは、アクセスが明示的に有効にされていない限り、依然としてサービスを相互に分離することに大きく依存しています。これはセキュリティの観点からはうまく機能しますが、エンタープライズ規模での管理がより困難になり、大規模な IAM の管理の難しさも悪化するという代償を伴います。

<<:  Kubernetesの権限管理に関する徹底的な議論

>>:  建設業界におけるモバイルおよびクラウド テクノロジー: 建設業界の未来とは?

推薦する

SEO 2.0 で成功するための 10 ステップについての簡単な説明

前回の記事では、SEO 2.0とは何かを紹介しました。今日の記事では、SEO 2.0を成功させるため...

「ウェブサイトSEOはデータ分析と同じ」の反論

最近、ウェブマスターのサイトで、ウェブサイトの SEO はデータ アナリストと同等だという話が盛んに...

華雲データは2018年の製品とエコ戦略会議を開催し、中国のクラウドパワーを紹介した。

6月8日、華雲データグループは北京で「中国クラウドパワー-華雲データグループ製品とエコシステム戦略会...

ソフト記事クラスにおけるソフト記事マーケティングの真髄

ソフト記事クラスを再検討すると、古代にまで遡ることができます。当時、人々は人々のコミュニケーションを...

「オープンソース」を夢見ているのは誰でしょうか?

まず最初に、少し前に起こった出来事をお話ししましょう。 2か月以上前、Appleの世界開発者会議が米...

エッジコンピューティング101: 5つの異なるタイプのエッジソリューションについて学ぶ

IDC の調査によると、AI、5G、ネットワーキング、IoT テクノロジーの急増により、エッジ ソリ...

「オープンクラウド」とは実際には何を意味するのでしょうか?

クラウドに適用された場合、オープンとは実際には何を意味するのでしょうか?現代のソフトウェア エンジニ...

ウェブサイト運営 ユーザーが見たいウェブサイトを作る

インターネット環境がますます普及し、使いやすくなったため、ウェブサイトの構築はもはや難しい作業ではあ...

匯聡による中関村オンラインの15億ドルの買収は本当に弱者同士の同盟なのか?

3月17日夜、数ヶ月間続いてきた中関村オンラインの売買が最新の進展を遂げた。買い手は、誰もがよく知っ...

モバイル Web サイトの構築にかかる時間に影響する要因は何ですか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますコンピュー...

SEO では競合他社をどのように分析すべきでしょうか? 競合他社についてどのようなデータを分析すべきでしょうか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています競合他社の...

2012 年の 5 つの企業オンライン マーケティング戦略

企業にとって一般的なインターネット マーケティング戦略は、Baidu プラットフォームの活用、プロモ...

Oracle NetSuiteとGuopiao Informationが共同で新たな財務・税務エクスペリエンスを創出

2012年の全国的な営業税から増値税への試行プログラムから、「営業税から増値税への」徹底的な改革、「...

「インフルエンサーエコノミー」と「ホームエコノミー」が新たなボーナス期間となる

「家内経済」は最近ホットな言葉です。ニュースメディアで多く取り上げられているだけでなく、資本市場も反...

民間病院の対外マーケティングのためのフォーラム推進

Baidu Tiebaも実はフォーラムですが、その人気は他のフォーラムをはるかに上回っているため、別...