クラウド データ セキュリティのベスト プラクティスを学びましたか?

クラウド上のデータ セキュリティのベスト プラクティスには、セキュリティの基礎の理解と実装、責任共有モデルの遵守、データの暗号化、適用される規制の遵守が含まれます。

データ セキュリティの基本は、多くの場合、CIA の 3 要素 (データの機密性、データの整合性、データの可用性) にまで遡ることができます。

共有責任モデルとは、クラウド プロバイダーとクラウドを使用する組織の両方が、そこに保存されているデータを含む組織のクラウド インフラストラクチャ全体のセキュリティを確保する責任を負うことを意味します。

データ暗号化はデータ セキュリティの基本要素であり、クラウド環境では特に重要です。クラウド プロバイダーは、高度な暗号化ツールと暗号化キー用の安全なストレージ モジュールを提供できます。

最後に、データセキュリティ、特にデータプライバシーに関する規制も進化しています。組織は、関連する法律や規制に常に準拠していることを保証するためのシステムを導入する必要があります。

CIA トリニティとクラウド内のデータ セキュリティ

CIA トライアドは、クラウドを含むあらゆる環境のセキュリティを確保するために組織を導く 3 つのセキュリティ属性のセットです。この三位一体はセキュリティの基本的な側面をカバーしており、組織がセキュリティ ツールを理解し、より適切に実装するのに役立ちます。これら 3 つの特性とは、機密性、整合性、可用性です。米国の諜報機関との混同を避けるため、AICと呼ばれることもあります。大手クラウドベンダーは、三位一体に準拠できるセキュリティ サービスを提供しています。

データの機密性とは、個人データが非公開のままであり、権限のない組織には閲覧できないことを意味します。組織では、データにアクセスできる承認されたエンティティのみがデータを参照できるようにするために、暗号化を使用することがよくあります。

データが偶発的または悪意のある行為者によって操作されていないことを組織が認識している場合、そのデータは整合性を備えています。組織は、アイデンティティ アクセス管理 (IAM) ツールを使用して、許可されたエンティティのみがデータにアクセスできるようにすることができます。 IAM ツールを使用することで、組織は最小権限の原則に従うことができ、従業員は業務を効率的に遂行するために必要なクラウド アクセスのみを持つことになります。

可用性とは、許可されたエンティティがデータにアクセスできる時間の長さを指します。データが利用できなくなる原因の 1 つは、サービス拒否 (DoS) 攻撃またはネットワーク停止によってクラウド データ センターがダウンした場合です。地理的に分散したデータのバックアップにより、データの可用性が向上します。クラウド プロバイダーのクラウド データ センターが地理的に分散している場合、分散クラウドと呼ばれます。

ただし、クラウド コンピューティングで CIA トリプルを使用するには課題があります。これは基本的なセキュリティアプローチですが、現代のセキュリティ上の脅威をすべてカバーできるわけではありません。たとえば、モノのインターネット (IoT) デバイスの普及は、CIA にとってそれ自体が課題です。

多くの IoT デバイスはクラウドに依存しており、IoT デバイスは十分な頻度でパッチが適用されていないことが多く、弱いパスワードを使用しているため、ボットネットでの DoS 攻撃に簡単に侵入される可能性があります。これらのセキュリティ リスクはクラウドへの扉を開き、整合性を損ないます。

組織はトレードオフを行わなければならない場合もあります。たとえば、データに高い機密性と整合性が求められる場合、可用性を低くする必要があるかもしれません。可用性を犠牲にすると、データを複数のデータセンターに分散できなくなる可能性があります。

組織が IoT デバイスのリスクを軽減する 1 つの方法は、一貫したポリシーを実装することです。クラウド環境全体にわたるポリシーの適用が一貫しているため、組織のクラウド環境の弱点は制限されます。これは、全面的に同じセキュリティ ポリシーを適用することで、クラウドの弱点が悪用される可能性が低くなるためです。

主要クラウドプロバイダーのセキュリティ技術

大手クラウドプロバイダーは、クラウドデータセンターのセキュリティを非常に重視しています。クラウド プロバイダーは、顧客データに対して安全な環境を提供するためにさまざまな手順を踏んでいます。これらのアクションには、物理​​的なデータセンターのセキュリティ、セキュリティ ソフトウェア、信頼のルート ハードウェア、完全なデータ消去、ハードウェアの破壊などが含まれる場合があります。

ただし、クラウド プロバイダーはクラウドと顧客データの保護に対して単独で責任を負うわけではありません。共有責任モデルはクラウド プロバイダーによって異なり、クラウドのさまざまな側面のセキュリティ保護の責任がプロバイダーと顧客のどちらにあるかを示します。責任の程度は、組織がクラウドで実行されるソフトウェア アズ ア サービス (SaaS) アプリケーション、プラットフォーム アズ ア サービス (PaaS) オファリング、またはインフラストラクチャ アズ ア サービス (IaaS) オファリングのいずれを使用しているかによって異なります。たとえば、Microsoft Azure の共有責任モデルは次のとおりです。

出典: Microsoft Azure

組織が活用できるクラウド セキュリティ サービスには次のようなものがあります。

• データのバックアップ
• データ暗号化
• ファイアウォール
• ハードウェア セキュリティ モジュール (HSM)
• アイデンティティアクセス管理ツール
• 監視ソフトウェア

監視ソフトウェアを使用すると、クラウド インフラストラクチャの可視性が高まり、セキュリティ侵害が発生したときにそれを検出できるようになります。

クラウドでの暗号化

データの暗号化と復号化は、クラウド内で行われるかどうかに関係なく、暗号化キーによって実行されます。理想的には、これらのキーに使用されるアルゴリズムは非常に複雑で、解読が困難です。 AWS などの主要なクラウドベンダーが使用するアルゴリズムの 1 つは、256 ビットの Advanced Encryption Standard (AES) です。

暗号化されたデータを安全に保つには、データを暗号化および復号化する暗号キーも安全に保存する必要があります。ここで、AWS CloudHSM、Azure Key Vault、GCP の Cloud Key Management Service (KMS) などのサービスが役立ちます。

HSM は、政府の規制に準拠した物理的なセキュリティの側面とソフトウェア セキュリティ ツールを備えて設計されたハードウェアです。物理的なセキュリティの側面には、ピッキング防止ロックや改ざん防止シールが含まれます。ソフトウェアのセキュリティの側面には、ユーザーの ID をチェックしてキーにアクセスする権限があるかどうかを確認する ID ベースの認証が含まれます。

法律と規制

政府と業界の両方が、SOC 2、連邦情報処理規格 (FIPS) 140、ペイメントカード業界データセキュリティ規格 (PCI DSS)、医療保険の携行性と責任に関する法律 (HIPAA) など、クラウドのデータセキュリティに関する標準と規制を確立しています。

SOC 2 は、米国公認会計士協会 (AICPA) によって開発された標準です。これは、顧客データがどのように管理されているかを確認するための監査です。監査の根拠となるのは 5 つの原則であり、AICPA の Web サイトでは「サービス組織がユーザー データを処理するために使用するシステムのセキュリティと処理の整合性、およびそれらのシステムによって処理される情報の機密性とプライバシー」と説明されています。

FIPS 140 は、ハードウェアおよびソフトウェア暗号化モジュールのテスト要件に重点を置いています。これらの要件を満たすには、HSM などの暗号化モジュールは、物理的なセキュリティ、攻撃の緩和、認証、インターフェースなどの側面をカバーする一連のテストに合格する必要があります。 FIPS 140 には 4 つのレベルがあり、それぞれが特定のユースケースに適していますが、各レベルが必ずしもより安全であるとは限りません。

PCI DSS はクレジットカード会社によって制定された業界標準です。この標準は、機密情報の安全性を確保するためにクラウド プロバイダーが導入する必要があるセキュリティ要件と業界ツールのベースラインを確立します。

要約: クラウドデータセキュリティの要点

• クラウド内のデータを保護するためのベスト プラクティスには、セキュリティの基本の使用、クラウド インフラストラクチャのセキュリティ保護、データの暗号化、規制の遵守などがあります。
• CIA トライアドは、組織がクラウド環境でデータを保護するためのガイドとして使用できます。
• 共有責任モデルは、クラウド セキュリティのどの部分に対して顧客が責任を負うかを示します。
• データを暗号化するために、組織はクラウド プロバイダーが提供するセキュリティ サービスを使用できます。
• 組織は、自社に適用される法律や規制、またそれらの法律や規制がいつ変更または追加されるかについて注意を払う必要があります。

オリジナルリンク: https://www.sdxcentral.com/security/definitions/data-security-in-the-cloud-best-practices/