ハイブリッドクラウドのセキュリティとコンプライアンス、リスク軽減の指針の詳細な説明

ハイブリッド クラウド セキュリティは長い間進化し続けています。クラウド コンピューティングには、現在のポリシー、プラクティス、スキルを拡張するアプローチを必要とするさまざまな側面が伴います。一元化された可視性を実現し、制御を保護し、リスクを管理するには、エンタープライズ中心の視点を取り入れる必要があります。

図のリストは以下の説明と一致しています。

1. セキュリティポリシー

プライベート クラウド環境とパブリック クラウド環境 (ハイブリッド クラウドとマルチ クラウド) を持つ企業は、保護制御を監視および実施するためのクラウド セキュリティ ポリシーを明確に定義する必要があります。ポリシーには、規制コンプライアンス要件 (PCI、HIPAA、ISO、FFIEC、GDPR、政府または国レベルの要件など)、エンタープライズ制御、データ保存場所、プライバシー評価のニーズが含まれる必要があります。

クラウド サービス プロバイダーによって定義された共有責任モデルと、組み込む必要がある顧客チームの責任に基づいて、範囲を決定する必要があります。規制ポリシーは絶えず変化しており、企業のリスクおよびコンプライアンス チームはこれらの変更を監視、評価、統合する必要があります。

2. サイバーレジリエンス計画

企業はサイバーレジリエンス計画をクラウドにも拡張する必要があります。クラウド環境に対する追加の対応オプションを考慮する必要があります。リスク管理者は、頻繁な攻撃テスト、机上演習、従業員教育、すべてのクラウド環境の組み込みを計画に含める必要があります。

3. 安全な相互接続

複数のプライベート データ センター施設を持つ企業は、通信対応のネットワーク接続を介してそれらの施設間で安全な接続を確立します。クラウドネイティブ接続 (ダイレクトコネクト、エクスプレスルーティング) や Equinix などの相互接続ロケーションを活用して、データセンターから通信対応の接続を拡張することを強くお勧めします。

この接続方法は、プライベート クラウドとパブリック クラウド間の安全な転送をサポートします。相互接続でディープ パケット インスペクションを有効にすると、信頼されたゾーンと信頼されていないゾーン間の接続とトラフィック管理を監視および管理するための追加の保証が得られます。

このアプローチにより、エンタープライズ ID およびアクセス管理ツールを介したユーザー アクセスの拡張が簡素化されます。クラウドおよびプライベート クラウド環境に接続するローミング ユーザーをさらに監視することで、エンタープライズ監視が強化されます。

4. コントロールプレーンを保護する

クラウド サービス プロバイダーのコントロール プレーンまたはポータルは、リスク サーフェスの 1 つです。マスター アカウントおよびその他の高レベルの特権アカウントは、クラウドでネイティブに有効化されているコンピューティング、ストレージ要素、データ、フォーマット テンプレート、セキュリティ、コンプライアンス構成にアクセスできます。

コントロール プレーンへの権限が昇格されたユーザーは、部署を移動したり会社を退職したりしても同じアクセス権を持つことができます。ユーザーが悪意を持っていたり、誤ってクラウドベースの資産を削除または変更したりした場合、ユーザーへのこのアクセスによってビジネスが危険にさらされる可能性があります。

企業は、契約しているすべてのクラウド サービス プロバイダーと関連するコントロール プレーンを理解する必要があります。リスク管理者は、クラウド サービス プロバイダーが提供するマスター アカウントを管理する必要があります。セキュリティ管理者は、より高い権限を持つ個人の有効化を会社の ID を通じてのみ厳密に管理する必要があります。

ユーザーのオンボーディングとオフボーディングは、セキュリティ ポリシーの定義に従って管理する必要があります。現役雇用および継続中のビジネスにはアクセスが必要であり、または昇格された権限を頻繁に確認する必要があります。多要素認証は強く推奨されており、リスクを軽減するために企業の ID にも拡張されています。

また、ユーザーの行動を追跡し、クラウド リソースの意図しない削除や変更を防ぐために、Privileged-id を使用してその使用状況を管理および監視することもお勧めします。

5. データプレーンを保護する

クラウド サービス プロバイダーは、サードパーティ ベンダー プロバイダーのセキュリティ ツールのサポートに加えて、ネイティブのクラウド セキュリティ機能もサポートします。各クラウド サービス プロバイダーはこれらの機能に関して微妙な違いを持っ​​ています。これらは、ワークロードの展開方法の自動化に組み込まれています。

これまでのデータ侵害のほとんどは、クラウドの誤った構成が原因でした。 VPC、セキュリティ グループ、IAM コントロール、キー管理サービス、その他の機能の構成はクライアントの責任となります。

これらはワークロードの展開に基づいて適切に設計する必要があり、設計標準からの逸脱は継続的に監視し、直ちに是正措置を講じる必要があります。

クラウドネイティブ セキュリティ機能は、サービス プロバイダーによってサポートされる製品のような機能です。これらはクラウド環境の基盤の一部です。ポリシーを有効にし、作成し、適用し、継続的に監視するには、クラウド サービス プロバイダーの専門的な知識が必要です。したがって、アプリケーション開発チームとセキュリティ チームのスキル開発に投資することをお勧めします。

6. 衛生監視と改善

基本的な衛生状態の欠如は、ハイブリッド マルチクラウド環境を活用する企業にとって最大のリスク要因です。衛生管理の定義は、COTS ソフトウェア (オペレーティング システム、アプリケーション、ミドルウェア)、カスタム アプリケーション、アクセス管理制御、企業のセキュリティ ポリシーに従ったシステム強化の一部である脆弱性の特定にまで及びます。

企業ポリシーの一環として、リスクベースの脆弱性ランク付け、ゼロデイ脆弱性に対する二次制御の実装、オペレーティング システムでの逸脱の特定、アプリケーション レベルの強化、自動化による即時修復に基づいて、健全性と適切な脆弱性管理を継続的に監視する必要があります。

7. 統合セキュリティとコンプライアンス管理

クラウド コントロール プレーン、ワークロード、アプリケーションのセキュリティとコンプライアンスは相互に関連しています。すべての資産、オンプレミスからクラウド構成までのコンプライアンス態勢、ワークロード構成は、自動的かつ統合された方法で監視および評価する必要があります。環境を保護するために監視、ドリフト分析、修復アクションを活用し、同時に環境のコンプライアンス状態を実証するために修復アクションを活用します。

8. 「重要な資産」の発見と保護

顧客は重要な資産を理解し、分類する必要があります。企業がワークロードをサポートするためにハイブリッド マルチクラウド環境を活用すると、コア データや重要な顧客データにもクラウド経由でアクセスできるようになります。

お客様は、これらの資産の使用状況を把握し、安全なアクセス、転送、クラウド構成の監視と管理、データ損失防止などの 24 時間 365 日の監視と管理の追加対策を有効にして、コア データへの侵入やデータ漏洩を防止および保護する必要があります。

9. エンタープライズセキュリティの可視性と対応

ハイブリッド環境のワークロード (VM、コンテナベースのワークロード、サーバーレス機能) を持つエンタープライズ顧客の場合、ユーザー アクティビティとデータの移動はプライベート クラウド環境とマルチクラウド環境の間で発生します。通常、クラウド サービス プロバイダーは、クラウド内のワークロード、ユーザー アクティビティ、ネイティブ サービスのログ記録とテレメトリをサポートします。

クラウドベースのテレメトリは、SIEM またはセキュリティ分析ツールを使用して、プライベートおよびマルチクラウドのテレメトリに統合する必要があります。セキュリティ分析ツールを通じて適用される相関ルールは、異常なアクティビティ、構成のドリフト、ユーザーまたはクラウドベースの構成に対する過剰な権限、データの流出などを識別します。

監視ツールが単一の画面になり、ハイブリッド マルチクラウド環境に対する企業の可視性が提供されます。応答自動化プラットフォームまたはクラウドネイティブ機能を通じてポリシーの適用を自動化すると、即時の保護とリスクの最小化に役立ちます。

10. シャドーITとシャドーデータの可視性と保護

クラウド コントロール プレーンにアクセスすることで、ユーザーはクラウドの速度でワークロードを柔軟に展開できます。標準的なワークロード保護、衛生管理、強化、ネットワーク セキュリティ、クラウド ネイティブ構成は、ワークロードの展開の一部として有効にできない場合があります。

適切な分類、保存場所の監視、プライバシー評価を行わずにさまざまなクラウド サービスにデータを保存すると、セキュリティ リスクが増大し、顧客が GDPR に基づいて適用される罰金の対象となる可能性があります。

適切な監視を行わずに IT を実装し、データをプライベート環境からパブリック環境に移動すると、シャドー IT とシャドー データが作成されます。シャドー IT は、侵入者がシステムを悪用し、正当な接続を介してクライアントのハイブリッド環境にさらに侵入するための経路として使用したり、これらのシステムを使用して外部攻撃を開始したりするための最も脆弱な攻撃対象領域になることがよくあります。

顧客は、基本的な保護と衛生管理を備えたワークロードを起動するためのエンタープライズ セキュリティ戦略を用意する必要があります。セキュリティ監視および管理ツールは、24 時間 365 日の監視と自動応答システムを通じてシャドー IT とデータを検出し、防止する必要があります。

セキュリティ管理者は、オーケストレーター、エージェント、セキュリティおよびコンプライアンス技術が組み込まれた形成テンプレート、ポリシー監視および管理サービスを適用して、ユーザーが企業標準に準拠し、24 時間 365 日の監視と管理にリンクできるようにする必要があります。

11. 監視の自動化

形成テンプレートを使用した自動展開、クラウド サービス プロバイダー機能、メタサービス、API、マイクロサービス、アクセス割り当て、キーを使用したクラウド ネイティブ ワークロードの監視と管理は、クラウド ファブリックの一部です。

企業では、これらのサービスに対して監査ログを有効にすることをお勧めします。セキュリティ運用マネージャーは、これらのソースからのテレメトリ データをクラウド サービス プロバイダー対応のセキュリティ分析プラットフォームまたはクライアント側 SIEM に集約し、異常なアクティビティを検出して管理する必要があります。

自動化を活用して自動化を監視および管理します。 SRE、Chaos Monkey、侵入テストなどの技術を活用して、自動化とユーティリティを継続的にチェックします。

12. 左にシフト

イノベーション、アプリケーションの近代化、迅速なアプリケーション開発と展開は、主にビジネス ユニットの決定と BU を担当する DevOps チームによって実現されます。

DevOps チームは主に、クラウドで利用可能な機能、オープン ソース ユーティリティ、継続的インテグレーション/継続的デリバリー ツールの採用を通じてアプリケーションの機能強化を改善することに重点を置いています。このアプローチでは、包括的なセキュリティとコンプライアンスは考慮されておらず、組み込まれていません。

DevOps チームは、クラウドによって提供されるインフラストラクチャがセキュリティに十分であると想定し、主にアプリケーション層の制御に重点を置くこともあります。ワークロード分析中、企業は、ワークロードをクラウドに新規構築または移行する場合のアプリケーション セキュリティ、企業コンプライアンス、規制コンプライアンス、プライバシーの要件を理解することが推奨されます。顧客は、クラウドの一部として組み込まれている責任と、ニーズを満たすために顧客が追加した責任の両方について、共有責任を評価する必要があります。

パブリック クラウドに展開されたワークロードは、開発/テスト/試作モードであっても、クラウド構成、ネイティブ クラウド セキュリティ機能、またはサードパーティ ベンダー製品を使用して保護する必要があります。

13. 人材と文化

上記のすべては、人材文化、プロセス、ツールが強化され、クラウド環境の導入に伴う微妙な変化に適応した場合にのみ可能になります。開発者は、設計段階からのセキュリティや脅威モデリングの概念を採用して、ライフサイクルの早い段階で脆弱性を特定し、脆弱なアプリケーションが展開される前に脆弱性を修正できるようにする必要があります。厳格な衛生管理を遵守し、クラウド構成を慎重に使用することで、チームは偶発的なデータ侵害を回避できます。

14. スキルの向上に集中する

クラウドとクラウド セキュリティは、業界の既存のスキル ギャップに新たな側面をもたらします。クラウド構成を統合し、オンプレミスで提供されるセキュリティ機能をクラウドに活用する場合は、クラウド サービス プロバイダー環境に関する深い専門知識が必要です。

クラウド コンピューティング分野に参入する企業は、既存の従業員のスキルアップに投資するか、熟練した従業員を獲得して計画的に現在のチームに統合する計画を立てる必要があります。

企業が定義した標準と特定のクラウド サービス プロバイダーの標準を一緒に活用できるように、チームに適切なトレーニングを提供する必要があります。

これらのガイドラインを適用することで、ほとんどのリスクを軽減できます。ハイブリッド クラウドがさらに進化するにつれて、これらの基本原則の上に追加の原則を構築できるようになります。