避けるべき3つのよくあるクラウド構成の間違い

いずれにせよ、クラウド インフラストラクチャはほぼすべての組織にとって重要なコンポーネントとしての地位をしっかりと確立しており、パブリック クラウドへの支出は今後 5 年間にわたって急増し続けると予想されています。組織全体の導入プログラムと同様に、クラウド インフラストラクチャ イニシアチブでは、成功裏に安全に導入して範囲を拡大するために、広範な計画が必要です。クラウド インフラストラクチャ イニシアチブの計画が不十分だと、複雑さとリスクが生じ、最終的には攻撃者が組織の攻撃対象領域に侵入する道が開かれることになります。

この分野で最も一般的な複雑さは、誤った構成の問題と、デフォルト設定とセキュリティのベスト プラクティスの違いの誤解です。 2020 年のマリオットの 2 度目の侵害を含め、業界最大規模の侵害のいくつかは、誤った構成が根本原因となっています。責任の共有から不適切なデフォルトの管理まで、クラウドの誤った構成の根本原因は、重大なサイバーセキュリティ リスクを増大させます。幸いなことに、組織の成功に役立つ重要な焦点領域がいくつかあります。

すべてのユーザーを識別して認証する

クラウドでは、人、デバイス、アプリケーションのセキュリティ保護と認証が困難な場合がよくあります。セキュリティ専門家は、たとえ「ID」が信頼できるソースからのものであるように見えても、組織のクラウド ネットワークにアクセスするすべてのエンティティの識別と認証を実施する必要があります。攻撃者が、検証済みのデジタル ID や、暗黙的に信頼されているインフラストラクチャ領域に、追加の検査なしにアクセスした場合、長期間にわたって気付かれず検出されないまま企業データを抽出できます。

そのため、アイデンティティおよびアクセス管理 (IAM) は、3 大クラウド サービス プロバイダー (CSP) の中で最も重要かつ複雑なアーキテクチャの 1 つとなっています。 IAM は、特定のリソースにアクセスできるユーザーを制御し、それらのユーザーに対して必要な権限を分離し、役割ごとにアクセス権とテクノロジーを付与する組織ポリシーを組み込みます。

IAM の実装に合わせて適切なポリシーを採用することが重要です。 IAM が適切に処理されない場合、組織は安全でない資格情報や役割を越えたユビキタス アクセスの影響を被る可能性があります。

デフォルトのセキュリティグループの値に注意してください

クラウド セキュリティ グループは、従来の IT 環境の制御および適用ポイントとして機能します。ルールに基づいてイングレス（受信）トラフィックとエグレス（送信）トラフィックを制御し、それに応じて応答し、疑わしいアクティビティ、悪意のあるアクティビティ、その他のアクティビティをセキュリティ チームと IT チームに通知します。残念ながら、セキュリティおよび IT プロフェッショナルは、アラート、通知、リクエストに圧倒され、スピードよりも品質を重視する文化が促進される可能性があります。チームは 2 つまたは 3 つのセキュリティ グループを作成し、インフラストラクチャ全体でさまざまな目的でそれらを再利用できます。

これは正当なように思えますが、ユーザー アカウントにドメイン管理者権限を与えることに似ており、悪用されることが多い誤った構成です。デフォルトでは、すべての主要な CSP がすべての受信トラフィックをブロックし、すべての送信トラフィックを許可するため、攻撃者に攻撃の機会を与え、攻撃対象領域を拡大する可能性があります。複数の CSP にまたがる組織は、CSP 間で共通の構成がほとんどないため、最もリスクが高く、組織は各プラットフォームをそれに応じてカスタマイズして、すべてのクラウド インフラストラクチャでアプリケーションのセキュリティを確保する必要があります。

「認証された」ユーザーを定義し、それに応じてログを記録する

クラウドについて議論する場合、「認証されたユーザー」という用語は誤解を招く可能性があります。この用語は組織内の認証された個人に厳密に適用されると考えるのは妥当な仮定です。残念ながら、主流の CSP を管理する場合、これは正確ではありません。

認証済みユーザー権限を持つユーザーは、組織の内外を問わず、クラウドにアクセスできます。ユーザーのアクセシビリティをより深く理解し、それに応じて計画を立てることで、不正アクセスを防止することが重要です。

面倒に思えるかもしれませんが、クラウド インフラストラクチャに変更を加える多数のユーザーを管理および追跡することは、ますます重要になっています。ログは、疑わしいアクティビティを特定し、セキュリティ体制を迅速に改善するための鍵となります。

外部からの脅威に満ちた環境では、基本的なクラウドの衛生管理に妥協する余地はありません。デフォルト設定の間違いから始まったものが、最終的にはビジネスリーダー、従業員、顧客にとって非常に大きなコストがかかる危機につながる可能性があります。クラウドの衛生管理と定期的なセキュリティレビューに明確に重点を置くことで、企業はサイバーセキュリティのリスクをなくすという使命をサポートする戦略的なクラウドの道を歩み始めることができます。