クラウド データ セキュリティのベスト プラクティスを学びましたか?

クラウド データ セキュリティのベスト プラクティスを学びましたか?

クラウド上のデータ セキュリティのベスト プラクティスには、セキュリティの基礎の理解と実装、責任共有モデルの遵守、データの暗号化、適用される規制の遵守が含まれます。

データ セキュリティの基本は、多くの場合、CIA の 3 要素 (データの機密性、データの整合性、データの可用性) にまで遡ることができます。

共有責任モデルとは、クラウド プロバイダーとクラウドを使用する組織の両方が、そこに保存されているデータを含む組織のクラウド インフラストラクチャ全体のセキュリティを確保する責任を負うことを意味します。

データ暗号化はデータ セキュリティの基本要素であり、クラウド環境では特に重要です。クラウド プロバイダーは、高度な暗号化ツールと暗号化キー用の安全なストレージ モジュールを提供できます。

最後に、データセキュリティ、特にデータプライバシーに関する規制も進化しています。組織は、関連する法律や規制に常に準拠していることを保証するためのシステムを導入する必要があります。

CIA トリニティとクラウド内のデータ セキュリティ

CIA トライアドは、クラウドを含むあらゆる環境のセキュリティを確保するために組織を導く 3 つのセキュリティ属性のセットです。この三位一体はセキュリティの基本的な側面をカバーしており、組織がセキュリティ ツールを理解し、より適切に実装するのに役立ちます。これら 3 つの特性とは、機密性、整合性、可用性です。米国の諜報機関との混同を避けるため、AICと呼ばれることもあります。大手クラウドベンダーは、三位一体に準拠できるセキュリティ サービスを提供しています。

データの機密性とは、個人データが非公開のままであり、権限のない組織には閲覧できないことを意味します。組織では、データにアクセスできる承認されたエンティティのみがデータを参照できるようにするために、暗号化を使用することがよくあります。

データが偶発的または悪意のある行為者によって操作されていないことを組織が認識している場合、そのデータは整合性を備えています。組織は、アイデンティティ アクセス管理 (IAM) ツールを使用して、許可されたエンティティのみがデータにアクセスできるようにすることができます。 IAM ツールを使用することで、組織は最小権限の原則に従うことができ、従業員は業務を効率的に遂行するために必要なクラウド アクセスのみを持つことになります。

可用性とは、許可されたエンティティがデータにアクセスできる時間の長さを指します。データが利用できなくなる原因の 1 つは、サービス拒否 (DoS) 攻撃またはネットワーク停止によってクラウド データ センターがダウンした場合です。地理的に分散したデータのバックアップにより、データの可用性が向上します。クラウド プロバイダーのクラウド データ センターが地理的に分散している場合、分散クラウドと呼ばれます。

ただし、クラウド コンピューティングで CIA トリプルを使用するには課題があります。これは基本的なセキュリティアプローチですが、現代のセキュリティ上の脅威をすべてカバーできるわけではありません。たとえば、モノのインターネット (IoT) デバイスの普及は、CIA にとってそれ自体が課題です。

多くの IoT デバイスはクラウドに依存しており、IoT デバイスは十分な頻度でパッチが適用されていないことが多く、弱いパスワードを使用しているため、ボットネットでの DoS 攻撃に簡単に侵入される可能性があります。これらのセキュリティ リスクはクラウドへの扉を開き、整合性を損ないます。

組織はトレードオフを行わなければならない場合もあります。たとえば、データに高い機密性と整合性が求められる場合、可用性を低くする必要があるかもしれません。可用性を犠牲にすると、データを複数のデータセンターに分散できなくなる可能性があります。

組織が IoT デバイスのリスクを軽減する 1 つの方法は、一貫したポリシーを実装することです。クラウド環境全体にわたるポリシーの適用が一貫しているため、組織のクラウド環境の弱点は制限されます。これは、全面的に同じセキュリティ ポリシーを適用することで、クラウドの弱点が悪用される可能性が低くなるためです。

主要クラウドプロバイダーのセキュリティ技術

大手クラウドプロバイダーは、クラウドデータセンターのセキュリティを非常に重視しています。クラウド プロバイダーは、顧客データに対して安全な環境を提供するためにさまざまな手順を踏んでいます。これらのアクションには、物理​​的なデータセンターのセキュリティ、セキュリティ ソフトウェア、信頼のルート ハードウェア、完全なデータ消去、ハードウェアの破壊などが含まれる場合があります。

ただし、クラウド プロバイダーはクラウドと顧客データの保護に対して単独で責任を負うわけではありません。共有責任モデルはクラウド プロバイダーによって異なり、クラウドのさまざまな側面のセキュリティ保護の責任がプロバイダーと顧客のどちらにあるかを示します。責任の程度は、組織がクラウドで実行されるソフトウェア アズ ア サービス (SaaS) アプリケーション、プラットフォーム アズ ア サービス (PaaS) オファリング、またはインフラストラクチャ アズ ア サービス (IaaS) オファリングのいずれを使用しているかによって異なります。たとえば、Microsoft Azure の共有責任モデルは次のとおりです。

出典: Microsoft Azure

組織が活用できるクラウド セキュリティ サービスには次のようなものがあります。

  • データのバックアップ
  • データ暗号化
  • ファイアウォール
  • ハードウェア セキュリティ モジュール (HSM)
  • アイデンティティアクセス管理ツール
  • 監視ソフトウェア

監視ソフトウェアを使用すると、クラウド インフラストラクチャの可視性が高まり、セキュリティ侵害が発生したときにそれを検出できるようになります。

クラウドでの暗号化

データの暗号化と復号化は、クラウド内で行われるかどうかに関係なく、暗号化キーによって実行されます。理想的には、これらのキーに使用されるアルゴリズムは非常に複雑で、解読が困難です。 AWS などの主要なクラウドベンダーが使用するアルゴリズムの 1 つは、256 ビットの Advanced Encryption Standard (AES) です。

暗号化されたデータを安全に保つには、データを暗号化および復号化する暗号キーも安全に保存する必要があります。ここで、AWS CloudHSM、Azure Key Vault、GCP の Cloud Key Management Service (KMS) などのサービスが役立ちます。

HSM は、政府の規制に準拠した物理的なセキュリティの側面とソフトウェア セキュリティ ツールを備えて設計されたハードウェアです。物理的なセキュリティの側面には、ピッキング防止ロックや改ざん防止シールが含まれます。ソフトウェアのセキュリティの側面には、ユーザーの ID をチェックしてキーにアクセスする権限があるかどうかを確認する ID ベースの認証が含まれます。

法律と規制

政府と業界の両方が、SOC 2、連邦情報処理規格 (FIPS) 140、ペイメントカード業界データセキュリティ規格 (PCI DSS)、医療保険の携行性と責任に関する法律 (HIPAA) など、クラウドのデータセキュリティに関する標準と規制を確立しています。

SOC 2 は、米国公認会計士協会 (AICPA) によって開発された標準です。これは、顧客データがどのように管理されているかを確認するための監査です。監査の根拠となるのは 5 つの原則であり、AICPA の Web サイトでは「サービス組織がユーザー データを処理するために使用するシステムのセキュリティと処理の整合性、およびそれらのシステムによって処理される情報の機密性とプライバシー」と説明されています。

FIPS 140 は、ハードウェアおよびソフトウェア暗号化モジュールのテスト要件に重点を置いています。これらの要件を満たすには、HSM などの暗号化モジュールは、物理的なセキュリティ、攻撃の緩和、認証、インターフェースなどの側面をカバーする一連のテストに合格する必要があります。 FIPS 140 には 4 つのレベルがあり、それぞれが特定のユースケースに適していますが、各レベルが必ずしもより安全であるとは限りません。

PCI DSS はクレジットカード会社によって制定された業界標準です。この標準は、機密情報の安全性を確保するためにクラウド プロバイダーが導入する必要があるセキュリティ要件と業界ツールのベースラインを確立します。

要約: クラウドデータセキュリティの要点

  • クラウド内のデータを保護するためのベスト プラクティスには、セキュリティの基本の使用、クラウド インフラストラクチャのセキュリティ保護、データの暗号化、規制の遵守などがあります。
  • CIA トライアドは、組織がクラウド環境でデータを保護するためのガイドとして使用できます。
  • 共有責任モデルは、クラウド セキュリティのどの部分に対して顧客が責任を負うかを示します。
  • データを暗号化するために、組織はクラウド プロバイダーが提供するセキュリティ サービスを使用できます。
  • 組織は、自社に適用される法律や規制、またそれらの法律や規制がいつ変更または追加されるかについて注意を払う必要があります。

オリジナルリンク: https://www.sdxcentral.com/security/definitions/data-security-in-the-cloud-best-practices/

<<:  マルチクラウド環境で自動化されたセキュリティ保護を実現するにはどうすればよいでしょうか?

>>:  Alibaba Cloud RemoteShuffleService の新機能: AQE とフロー制御

推薦する

Chain Eraはコミュニティの運営方法を教えます

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますコミュニテ...

アマゾン中国が2014年の書籍ランキングを発表

最近、Amazon は 2014 年の年間書籍ランキングを発表し、初めて同時に Kindle 電子書...

「トレンドに従う」か「トレンドに逆らう」かを選択しますか?

テクノロジーの進歩により、施設管理の役割は変化します。自動化の発展に伴い、ロボットは徐々にあらゆる分...

事例+データ | 教育産業への投資効果は低いのか?それは正しいチャンネルを選択しなかったからです。

毎年7月から9月にかけて夏休みが来ると、学生たちはさらに2か月間の自由時間を持つことになります。これ...

HRとAIはどんな火花を散らすのでしょうか?ベイセンは人事シナリオにおける AI の新たな価値を探る

[51CTO.comからのオリジナル記事] 先日、北森クラウドコンピューティング株式会社が主催するi...

クラウド ネイティブはマイクロサービスにどのように役立ちますか?

テクノロジーの発展に伴い、クラウド ホスティングの時代は徐々にクラウド ネイティブへと進化してきまし...

元のドメイン名所有者がSmartisan Technologyのt.ttドメイン名取引の裏話を語る:Luo Yonghaoは誠実である

昨日の記者会見で、羅氏は、Smartisan Technologyが多額の資金を投じてt.ttドメイ...

#おすすめ# abelohost: 苦情防止VPS(著作権を無視)、無制限のトラフィック、大容量ハードディスク

本当に苦情に強い VPS を見つけるのは簡単ではありません。苦情に強いと主張する (著作権を無視する...

特別版: BlueVM - 年間 5 ドルの VPS/年間 7 ドルの VPS

皆さんは bluevm をよくご存知だと思います。現在、特別版の VPS が 2 つあり、年間 5 ...

SEO担当者はログを読む習慣を身につけるべき

みなさんこんにちは、私は Wei Dongdong です。多くのウェブマスターにとって、ISS ログ...

人気の大学入試イベントから学ぶオンラインマーケティングの新たな手法

毎年、大学入試では、昨年の早期提出、受験生のスキャンダルなど、いくつかのホットな出来事が起こりますが...

ビジネスウェブサイトへのトラフィックを増やす方法

企業はインターネットの重要性をますます認識するようになり、インターネットを第二の人生のようにしっかり...

SEO で収益を上げることを考えたことはありますか?

SEO に関して言えば、一部のウェブマスターはランキングについて考えるでしょうが、より多くのウェブマ...

マーケティングプロモーション手法:ゲーミフィケーションマーケティングの勝利の秘訣!

はじめに: ゲーミフィケーション マーケティングの成功は、実際にはマーケティング心理学の総合的な応用...

ウェブサイトの各ページの負荷バランスを最適化する方法

正があるところには負があり、陰があるところには陽があり、男があるところには女がある。この世のあらゆる...