クラウド ネットワークは常にオンになっており、いつでも利用可能です。これは便利ですが、ハッカーがいつでもアクセスできることも意味します。したがって、クラウドの誤った構成など、これらのネットワークに脆弱性があると、企業はセキュリティ上の脅威にさらされる可能性があります。 この記事では、さまざまな種類のクラウドの誤った構成と、それらが発生する理由について説明します。次に、エンタープライズ チームが構成エラーを防ぎ、データとビジネス上の利益を安全に保つために何ができるかを検討します。 1. クラウドの誤った構成とは何ですか?NSA によると、クラウド セキュリティの脆弱性で最も一般的なのは構成ミスです。クラウドの誤った構成は、クラウド リソースが適切に設計されていない場合によく発生し、システムが攻撃に対して脆弱な状態になります。 クラウド環境の構成を誤ると、システムの停止、予期しないダウンタイム、セキュリティ リスクが発生する可能性があります。理由としては、過度に複雑な環境、セキュリティ対策に関する知識の不足、手動プロセスによる人為的エラーなどが挙げられます。 2. クラウド構成エラーの種類クラウド環境とリソースの構成ミスは、さまざまなセキュリティ問題を引き起こす可能性があります。 最も一般的な 2 つの誤った構成は、不十分なアクセス制御とネットワーク アクセス権限です。 1) リソースアクセス制御が不十分クラウド上のデフォルトの権限は、通常、最も低いハードルから始まります。つまり、開発者またはシステム管理者がアクセス制御を実装するまで、すべてのユーザーがすべてにアクセスできることになります。したがって、これらのコントロールを今すぐ設定することを忘れないことが重要です。 もう 1 つのケースは、開発者がアプリケーションを構成するときにすべてをオープン アクセスに設定することを決定した場合です。これにより、プロセス中の作業は容易になりますが、アクセス制御を再実装しないと、組織のシステムはデータ侵害のリスクが高まります。 2) ネットワークアクセスを許可するアクセス制御と同様に、チーム メンバーがネットワークまたは新しいサーバーをセットアップするときに、アプリケーションを構成するときに比較的許容度の高いポート アクセスとルーティングを適用する場合があります。 重要なのは、意図した外部向けポートのみが公開されるようにし、リソース間の通信オプションを減らすことです。これにより、悪意のある者が使用できる多くの攻撃ベクトルが排除されます。 3. クラウドの誤った設定に伴うリスククラウドの構成ミスは、組織のセキュリティや顧客へのサービス提供能力にさまざまなリスクをもたらす可能性があります。誤った構成の種類に応じて、このリスクはパフォーマンスや信頼性の問題から重大なセキュリティ リスクにまで及ぶ可能性があります。 最も一般的な 2 つのリスクは、機密データの漏洩とサービスの中断です。 1) 機密データの漏洩アクセス制御の構成ミスにより、機密データが公開されたり、貴重なファイルが盗まれる危険にさらされたりする可能性があります。攻撃者が企業のデータベースからデータを読み取ったり、クラウド ストレージからファイルを取得したりできるようにすると、企業はスパイ活動のリスクにさらされ、ユーザーの個人情報が公開され、悪意のある攻撃者が重要なデータを削除できるようになります。 2) サービスの中断攻撃者がネットワークやサーバーにアクセスすると、サービスが中断される可能性があります。 このような混乱にはランサムウェア攻撃が含まれる可能性があります。ハッカーはファイルやサーバーを暗号化したり、リソースを削除したり、さらにはサーバーを使用してスパムを送信したり、ビットコインを違法に採掘したりすることもできます。 さらに、サーバー、ネットワーク、またはコンテナの構成が誤っていると、負荷がかかった状態で適切なスケーリングが妨げられたり、サイトの災害復旧が妨げられたりする可能性があります。これにより、ビジネス ユーザーに混乱が生じ、企業は環境のためにより多くの費用を支払わざるを得なくなる可能性があります。 4. クラウド構成エラーが発生する仕組みIT プロフェッショナルとして、私たちは後で問題が発生するのを避けるために、意図的にリソースを誤って構成したり、環境を設定したりすることはありません。ほとんどの誤った構成は人為的なミスによるもので、主な原因はインフラストラクチャが過度に複雑であったり、セキュリティ対策に対する理解が不十分であったりすることです。 1) 過度に複雑なインフラストラクチャヒューマンエラーは、環境の複雑さが私たちが慣れている範囲を超えたときによく発生します。スケーラブルなアーキテクチャでリソースを迅速に作成したり、コンポーネントや新しいコンテナを追加したり、構成を変更したりすることは、一般的なエラーの原因となります。 企業はビジネスを成長させるためにこれらのステップを踏む必要がありますが、安全性チェックリストを実装することも重要です。企業環境において何らかの標準化が行われていない場合、すべてのコンポーネントが適切に構成され、保護されていることを企業が確認することは困難です。 2) セキュリティに関する理解不足ほとんどの開発者や DevOps チームは、アプリケーションやインフラストラクチャを開発および使用する際にセキュリティを優先していません。これらのチームは主に、サービスが適切に動作し、機能を提供することを確認することに重点を置いています。 したがって、企業にとって、開発チームが作業を開始するときにセキュリティを念頭に置くことが重要です。保存時の暗号化、最小権限の原則、アプリケーションの強化などの重要な概念を理解していることを確認します。 クラウド構成に細心の注意を払うことは、最初は面倒に思えるかもしれませんが、長期的には価値があります。 5. 誤った設定に関するヒントを減らす構成エラーのリスクを軽減し、構成エラーが発生する可能性を大幅に減らすために実装できるソリューションとプロセスは数多くあります。 以下は、環境と組織の性質に応じて IT チームが導入できるツールとテクノロジの例です。 1) 変更管理手法を採用する定期的な変更サイクルや変更レビュー チームなどの変更管理プラクティスにより、構成ミスの可能性を大幅に減らすことができます。 追加のツールを使用せずに標準化された方法で変更をスケジュール、確認、実装すると、構成エラーのリスクを大幅に軽減できます。 2) 環境をシンプルにする環境に展開されているすべてのコンポーネントのインフラストラクチャをカスタマイズするのではなく、いくつかのコンポーネントを標準化し、テンプレートを使用して展開することができます。 この標準化により、チーム メンバーはさまざまなコンポーネント構成をすばやく検出できるようになり、環境全体の管理が簡単になります。 3) 記録企業は、現在の環境と目的の環境を比較するために、チームが他の重要なデータ セットと同様に環境のドキュメントと構成を維持およびバックアップしていることを確認する必要があります。 構成と環境を文書化するのは最初は面倒に思えるかもしれませんが、長期的にはその余分な作業は報われるでしょう。これらのドキュメントは、エンタープライズ チームが問題を追跡し、問題を解決し、マネージャーが重要な役割を果たすために将来何をすべきかを決定するのに役立ちます。 4) インフラストラクチャをコードとして採用する変更管理プラクティスの哲学に基づいて、インフラストラクチャをコードとして構築するためのツールとプロセスを採用することをお勧めします。組織がインフラストラクチャをコードとして定義し、定期的にレビューすると、構成エラーが発生しにくくなります。 企業が継続的デリバリー ツールを導入して構成を常に最新の状態に保つと、構成のドリフトを防止し、予期しない変更をロールバックすることもはるかに簡単になります。 5) 脆弱性をスキャンする企業は定期的に環境をスキャンして脆弱性を見つけることをお勧めします。このスキャンには、静的および動的アプリケーション セキュリティ テストから、ポートとルートを確実にロックダウンするためのネットワークとファイアウォールのスキャンまで、あらゆるものが含まれます。 Bridgecrew や Snyk などのさまざまな構成コード スキャナーを使用すると、エンタープライズ チームはインフラストラクチャ コード フレームワーク内の一般的な構成エラーを見つけて修正できます。 6) 侵入テストを実行する定期的な脆弱性スキャンに加えて、環境とアプリケーションに対して実際の侵入テストを実行すると、アーキテクチャの潜在的な弱点を発見して修正するのに役立ちます。 侵入テストは専門的なサービスとしては非常に高価になる可能性がありますが、何らかの形で定期的に侵入テストを実行することで、エンタープライズ アプリケーションが可能な限り堅牢になることが保証されます。 7) DevSecOps文化を導入する長い間、セキュリティは開発および展開プロセスにおいて後回しにされてきました。開発、セキュリティ、運用 (DevSecOps) 文化は、アプリケーションの設計と開発の側面としてセキュリティを統合することでこの問題に対処します。 アプリケーションの設計および開発チーム内に強力なセキュリティ リソースを配置すると、アプリケーションの基盤にセキュリティを組み込むのに役立ちます。問題の発生を防ぐことで、後で問題を解決する手間を省くことができます。 今日のテクノロジー環境においても、クラウド環境では構成エラーが頻繁に発生し、あらゆる規模の企業でシステム停止やデータ漏洩を引き起こしています。 企業は、セキュリティに対するより明確で標準化されたアプローチを使用してさまざまな誤った構成に対処し、このアプローチを開発プロセスとツールに組み込むことができます。開発手法をインフラストラクチャ管理にまで拡張し、セキュリティに重点を置くことで、企業は誤った構成の影響と発生率を大幅に削減できます。 |
<<: クラウドネイティブセキュリティに関する3つの誤解を解く
>>: 1枚の写真で数十億のAmazon Web Services IoT接続のパワーを解き放つ
Apple iTunes Connect バックエンドがニュース発表をリリースしました: 中国のゲー...
検索エンジンに詳しい人なら誰でも、検索時にキーワードとして中国語、英語、数字を組み合わせたり、1 つ...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますコンテンツ...
イリノイ州(レイク・チューリッヒ)に拠点を置くこのアメリカ企業は、1997 年からホスティング ソリ...
bandwagonhost/Bandwagonhost クリスマスプロモーション、生涯 30% オフ...
[要約] 「私を主眼に置き、私を私の利益のために利用する」、于永福氏はこの8つの言葉でUCとアリババ...
ウェブサイトを構築する際、ウェブサイトのブランチを構築する必要がよくあります。たとえば、情報サイトに...
2010 年に比較的優秀で有名な独立系 SEO ブログをいくつかチェックしました。14 のブログをチ...
[51CTO.comより引用] 2018年、「ハイブリッドIT」はIT業界で最も頻繁に使われる言葉に...
2008年に立ち上げられ、ゲームポータルとして始まり、YY音声派生ライブ放送事業に依存していました。...
海外のVPSや独立サーバーをよく購入する友人は、一部の販売業者が怠惰で、システムテンプレートのバージ...
より多くのウェブサイト訪問者を引き付けるには、販売者はSEO を優先する必要があります。 SEO の...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービステキスト/悟空ノートBa...
完全なイベント プランの計画には、イベント設計、リソース統合、通信パスの計画、データ監視、イベントの...
[51CTO.com からのオリジナル記事] 健康は常に国民が最も懸念する問題の 1 つです。 Yo...