クラウドコンピューティング環境における主要なセキュリティ技術の研究

まとめ

クラウド コンピューティングは、ビッグ データ アプリケーションやクロスプラットフォーム アプリケーションの主なソリューションへと発展しましたが、仮想化、大規模化、オープン性などの特性により、セキュリティ上の脅威や課題がさらに増加し​​ています。本稿では、クラウド コンピューティング セキュリティ防御モデル アーキテクチャを分析することにより、クラウド コンピューティング セキュリティの技術的特徴、運用特性、保証モードを調査し、ソフトウェア定義のクラウド コンピューティング セキュリティ機能、保証サービス、インテリジェント サービス、動的防御などの主要テクノロジを提案します。これらのテクノロジーは、クラウド セキュリティ保護の柔軟な展開、効率的な保証、迅速な対応をサポートし、多様なセキュリティ ニーズに対するクラウド コンピューティング環境の応答性を向上させ、強力な敵対環境におけるクラウド コンピューティングの継続的なサービス機能を強化します。

現在、クラウド コンピューティングは、インターネットをベースとした新しい分散コンピューティング モデルとして、その高い効率性、信頼性、メンテナンスの容易さから、ビッグ データ アプリケーション、クロス プラットフォーム アプリケーションなどの主要なソリューションへと発展しています。クラウド コンピューティングは、仮想化、大規模化、オープン化などの特性があるため、従来のネットワーク情報システムに比べてセキュリティ上の脅威や課題がはるかに大きく、セキュリティ リスクも増大します。例えば、2019年10月には世界最大のクラウドサービスプロバイダーであるAWSがDDoS攻撃を受けました。 DNS セキュリティは大きな課題に直面しました。悪意のある攻撃者がシステムに大量のジャンクトラフィックを送信し、サービスが長期間にわたって影響を受けました。

同時に、クラウド セキュリティ アライアンス (CSA) は、2019 年のクラウド コンピューティングに対する脅威に関するレポートを発表しました。このレポートには、データ漏洩、構成ミスまたは不十分な変更管理、クラウド セキュリティ アーキテクチャと戦略の欠如、不十分な ID、資格情報、アクセス、およびキー管理、アカウント ハイジャック、内部脅威、安全でないインターフェイスと API、脆弱なコントロール プレーン、メタ構造とアプリケーション構造の障害、クラウド サービスの乱用と悪意のある使用など、11 の主要な脅威が含まれています。クラウド コンピューティングの推進と適用の過程で常にさらされるセキュリティ脅威のリスクと新たなセキュリティ攻撃方法に適切に対処するためには、クラウド コンピューティング セキュリティ防御の主要技術の研究は、非常に重要な意義を持ちます。

1. クラウドコンピューティングセキュリティ防御システム

ネットワーク相互接続のオープン性、包括的なリソース共有、および包括的な情報サービス指向により、クラウド コンピューティング アプリケーションは、サイバースペースからの攻撃に直面します。攻撃は、集中的で、手段が多様で、変化が速く、機能が強力で、破壊力が強く、影響が広範囲にわたります。合理的かつ完全なクラウド セキュリティ システムを構築し、関連するさまざまな主要なセキュリティ技術を突破して解決することによってのみ、クラウド環境におけるさまざまな複雑なセキュリティ リスクに効果的に対応し、クラウド サービス プロバイダー、オペレーター、セキュリティ ベンダー、ユーザーで構成されるクラウド エコシステムのセキュリティ サービスのニーズを満たすことができます。

クラウド コンピューティング環境は、ハードウェア設備、仮想リソース、仮想化されたコンピューティング リソース、ソフトウェア プラットフォーム、およびアプリケーション ソフトウェアで構成されます。サービスの種類には、主に Software-as-a-Service (SaaS)、Platform as a Service (PaaS)、Infrastructure as a Service (IaaS) の 3 つのサービス モデルが含まれます。異なるサービス モデルでは、クラウド サービス プロバイダーとクラウド テナント/顧客のリソース アクセス機能とセキュリティ保護要件が異なります。国家情報セキュリティ技術ネットワークセキュリティレベル保護セキュリティ設計技術の最新要件によれば、クラウドコンピューティング環境のセキュリティサービスは、統一されたフルサービスポリシー、規制、標準に基づき、一連の基本的なセキュリティサービスによってサポートおよび調整される必要があります。

図 1 クラウド コンピューティング セキュリティ防御リファレンス フレームワーク

クラウド コンピューティング環境におけるセキュリティ防御には、セキュリティと機密性の管理、ID 認証とアクセス制御、システムの災害復旧とバックアップ、セキュリティ監査、侵入検知など、従来の情報システムの一般的なセキュリティと機密性の保護に基づいたセキュリティ保護を実装するとともに、クラウド コンピューティング環境の仮想化とオンデマンド サービスの特性も対象とする必要があります。国家レベルの保護要件によれば、一般的なセキュリティ要件の安全なコンピューティング環境部分は、内部境界に対して提示されるセキュリティ制御要件です。

クラウド コンピューティング環境では、図 1 に示すように、ネットワーク領域境界アクセス制御、侵入防止、セキュリティ監査、集中管理と制御、コンピューティング環境 ID 認証、アクセス制御、侵入防止、イメージとスナップショットの保護、データ セキュリティ、データのバックアップと回復、残留情報の保護、クラウド環境の信頼性、仮想化セキュリティ、悪意のあるコードの防止などのセキュリティ保護テクノロジを使用する必要があります。クラウド コンピューティング環境のハードウェア設備、仮想リソース、仮想化コンピューティング リソース、ソフトウェア プラットフォーム、アプリケーション ソフトウェア、およびデータ セキュリティは、それぞれ物理層、仮想リソース層、およびサービス層から保証されます。クラウド コンピューティング環境は、セキュリティのオンデマンド強化を中核とし、インテリジェントなセキュリティ管理を保証する、統合されたセキュリティ基盤に基づく必要があります。セキュリティ検知と早期警告のサポートにより、「監視-意思決定-対応-防御」の動的な防御システムを形成できます。

2. クラウドセキュリティ防御ソフトウェアの定義

従来のネットワーク セキュリティ保護方法では、クラウド コンピューティングのセキュリティ保護のニーズを満たすことができなくなりました。あらゆるものをソフトウェア定義にする開発トレンドの下、ソフトウェア定義セキュリティ (SDS) はクラウド コンピューティングのセキュリティを解決するためのサポートを提供します。その中核は、物理的なセキュリティデバイスをそのアクセス方法や展開場所から分離し、ハードウェアプラットフォームとソフトウェア機能コンポーネントをレイヤーで分離し、それらをセキュリティリソースプール内のリソースに抽象化し、統一されたプログラミング方法で管理および保守し、セキュリティリソースとセキュリティサービスモデル間のオープン標準インターフェイスを定義し、セキュリティ機能の柔軟な展開とセキュリティ機能のオンデマンド提供をサポートし、図2に示すようにセキュリティをサービスとして実現することです。

SDS は、従来のセキュリティ サービス機能とセキュリティ保護制御機能をビジネス プレーンとコントロール プレーンに分離する SDN/FLOW アーキテクチャを指します。ソフトウェア定義アーキテクチャに基づくセキュリティ保護システムは、セキュリティ制御プレーンとデータプレーンを分離することもできます。ビジネスプレーンは、プラットフォーム層、実行層、サービス層で構成されます。セキュリティ機能の抽象化とリソース プーリングにより、さまざまなセキュリティ デバイスが異なるセキュリティ機能を持つリソース プールに抽象化され、特定のビジネス規模に応じてリソース プールの規模が水平方向に拡張され、さまざまな顧客のセキュリティ パフォーマンス要件を満たします。

図 2 クラウド セキュリティ ソフトウェア定義設計アーキテクチャ

このうち、プラットフォーム層は、さまざまな物理または仮想セキュリティ プラットフォーム、コンピューティング プラットフォーム、ストレージ デバイス、セキュリティ ルーティングおよびスイッチング プラットフォームなどで構成され、インテリジェント セキュリティ管理センターによって均一に展開、管理、スケジュールされ、セキュリティ ファシリティ リソース プールを形成します。関連するリソースはオンデマンドで取得されるため、柔軟性と拡張性が非常に高くなります。実行層の各セキュリティ サービス機能コンポーネントに仮想化されたオペレーティング環境を提供します。

実行層は、ウイルス対策、暗号化サービス、データ バックアップ、侵入検知、ファイアウォール、トラフィック制御などのセキュリティ サービス機能コンポーネントと、状況認識、脆弱性管理、イベント監査、認証と承認、ID 管理、キー管理機能など​​のセキュリティ管理機能コンポーネントで構成されます。各セキュリティ機能コンポーネントはハードウェア リソースから完全に分離され、設計が標準化されており、統一されたプログラミング制御インターフェイスをサポートします。また、サードパーティのセキュリティ サービス コンポーネントを統合できるオープン アーキテクチャ設計を採用しており、セキュリティ ベンダー間の補完的な利点と共同の防止および制御を実現します。サービス層は、クラウド環境テナントのニーズに応じて、コントロール プレーンの統合セキュリティ サービス オーケストレーションと実行層のセキュリティ機能コンポーネントの連携に基づいています。ネットワークと仮想マシンのアクセスと相互接続を制御し、情報フローをチェックし、安全なアクセスと分離セキュリティ サービスを提供し、アプリケーションとデータへの運用アクセスのためのアプリケーション アクセス制御とデータ セキュリティ サービスを提供します。

コントロール プレーンは、セキュリティ サービス アプリケーションのオーケストレーション、展開、管理に重点を置いており、操作中に生成されるユーザー タスクとリアルタイムのセキュリティ サービス要件をインテリジェントに分析し、それらを特定のセキュリティ リソースのスケジュール設定とセキュリティ ポリシー構成ソリューションに変換します。制御層が提供するプログラミング インターフェイスに基づいて、ビジネス プレーンの各層の垂直リソースに対してサービスがオーケストレーションされ、個別のセキュリティ サービス リソース間に正しい契約関係が形成され、体系的なセキュリティ保護システムが構築され、セキュリティ サービスの全体的な調整された連携が実現され、インテリジェントでサービス指向の動的なクラウド セキュリティ保護が実現されます。セキュリティ管理の範囲は、サービス提供モデルとプロバイダーの機能によって異なります。

3. クラウドセキュリティ防御サービス

クラウド コンピューティングのセキュリティ保護は、機能要件の点では従来のネットワーク セキュリティ保護と似ています。ただし、クラウド コンピューティングの仮想化、データの集中化、大規模な特性により、クラウド セキュリティは、アクセス制御、展開方法、保護モデルの点で従来のネットワーク セキュリティとは異なります。クラウド テナントには、独自かつカスタマイズされたセキュリティ保護に対する要求がより顕著になっています。安全なソフトウェアの定義に基づいて、サービス指向と統合クラウド セキュリティ保護モデルは、クラウド コンピューティング アーキテクチャのアプリケーション モデルにさらに適応しやすくなります。

図3 サービス指向のクラウドセキュリティ防御

統合セキュリティ インフラストラクチャに基づいて、集中化、標準化、サービス指向のセキュリティ機能コンポーネント設計をカプセル化して組み合わせ、標準のノースバウンド インターフェイスを利用することで、自動ポリシー オーケストレーションを実現し、クラウド セキュリティのサービス指向アーキテクチャ (SOA) を構築します。これにより、ユーザー セキュリティ サービスが提供され、IaaS、PaaS、SaaS に至るまで、安全なアクセス制御やアプリケーション セキュリティ保護などのマルチレベル セキュリティ サービスがユーザーに提供されます。

サービス指向のクラウド セキュリティ アーキテクチャは、図 3 に示すように、サービス登録、サービス公開、サービス クエリ、サービス要求、サービス プル、プッシュ、またはバインディングを通じて、サービス要求者に必要なセキュリティ サービスを提供して、セキュリティをサービスとして実現します。ネットワーク侵入検知、ホスト ファイアウォール、暗号化サービス、セキュリティ監査、その他の基本的なセキュリティ サービス機能を含むさまざまなセキュリティ サービスが、統合プラットフォームに基づいてセキュリティ サービス リソース プールを形成します。クラウド テナントは、サービス クエリとサービス リクエストを通じて関連するセキュリティ ソリューションを申請します。

クラウド セキュリティ管理システムは、クラウド コンピューティング セキュリティ保護システム アーキテクチャに基づいており、セキュリティ サービス リソース プールのスケジュールを統一し、オンデマンド オーケストレーションと動的展開を通じて、さまざまなレベルの複数の仮想セキュリティ サービス デバイスが相互作用して調整し、全体として連携して動作できるようにすることで、アクティブ、包括的、協調的な防御の多角的、全方位的なクラウド セキュリティ保護機能を形成します。テナントにクラウド セキュリティ サービスを提供することで、クラウド環境におけるネットワーク セキュリティ分離、テナント分離、アプリケーション セキュリティ、データ セキュリティなどの保護ニーズを満たし、オンデマンドで弾力性があり、使いやすいセキュリティ サービスを各テナントに提供し、クラウド前の監視、プロセス中のクラウド保護、クラウド後の監査を実現し、テナントの仮想コンピューティング環境、ネットワーク、データに対するライフサイクル全体のセキュリティ保護を提供します。サービス指向のクラウドセキュリティ保証モデルでは、統一されたセキュリティ運用、保守、管理を通じて、正確なセキュリティ保証を提供できるだけでなく、セキュリティインシデント処理の対応能力を加速し、全体的なセキュリティ保護能力の向上を促進します。

4. インテリジェントなクラウドセキュリティ防御

クラウドコンピューティングアプリケーションの普及により、クラウド内の膨大な量の企業データやユーザーデータは大きな資産価値を持ち、多数のハッカーが攻撃やスパイの対象となっています。さまざまなセキュリティの脆弱性が潜在的なセキュリティの脅威をもたらし、新しいネットワーク攻撃方法が絶えず導入され、クラウド コンピューティング環境が直面するセキュリティ状況はますます複雑になっています。クラウド コンピューティング環境にインテリジェントな認識、インテリジェントな警告、インテリジェントな意思決定、インテリジェントな対応を提供するには、インテリジェントな保護方法を使用し、人工知能をエンジンとして使用し、専門家の知識ベース、ディープラーニング、ビッグ データ分析に基づいて内部および外部の脅威インテリジェンス データを深く分析する必要があります。

図 4 に示すように、クラウド コンピューティングのシステム セキュリティ保護のインテリジェンス レベルが向上し、複雑で変化するクラウド コンピューティングのセキュリティ脅威に迅速に対応できるようになります。

図4 インテリジェントなクラウドセキュリティ防御

まず、多角的かつ多粒度のネットワーク セキュリティ監視により、分散プローブに基づいてログ、トラフィック、パフォーマンスなどのデータが収集され、データが自動的に識別、補完、フィルタリング、集約されて、基本データの整合性と信頼性が確保され、ネットワーク セキュリティ状況の監視がより明確になり、ネットワーク セキュリティの脅威をより迅速に発見できるようになります。

2つ目は、サイバー空間のインテリジェンスビッグデータを統合し、マルチイベント複合相関分析法、マルチモデル行動分析法、各種統計分析、機械学習などに基づく深層分析法を統合し、膨大な知覚情報をきめ細かく多次元的に深層分析し、貴重なデータをマイニングし、より正確に安全保障状況を判断することです。

3 つ目は、専門家の知識ベース、セキュリティ保護ルール テンプレート、ライブラリに基づいて、ユーザー向けのセキュリティ保護計画を動的に策定し、セキュリティ保護戦略の改訂などの提案を行うことで、ユーザーがさまざまなセキュリティ脅威に対応し、セキュリティ インシデントをより迅速かつ正確に処理できるように支援し、クラウド コンピューティング環境のセキュリティ保護機能を具体的に強化または統合することです。

4 番目に、安全なインテリジェントな運用および保守管理に基づいて、セキュリティ サービスが調整および再構築され、クラウド セキュリティ防御対策が適切に展開され、防御戦略がタイムリーかつ効率的に実行されるようになります。これにより、サイバー空間のセキュリティ脅威がクラウド サービスに与える影響が大きくなり、ネットワーク セキュリティ脅威による経済的損失が最小限に抑えられます。

5. 動的セキュリティ防御

クラウド セキュリティの各アクション リンクに統一されたセキュリティ設計を実装することで、セキュリティがすべてのクラウド リンクとその運用サービス動作に基本属性として統合されます。セキュリティ管理、セキュリティサービス、セキュリティプラットフォーム、監視と早期警告の連携に基づいて、図5に示すように、「監視-早期警告-意思決定-対応」のクラウドセキュリティ動的防御システムが構築されます。

まず、クラウド環境をリアルタイムで「監視」することで、違法操作やネットワーク攻撃行為などの総合的なセキュリティ状況データを収集し、データのクリーニング、正規化、統合を行って重要な情報を抽出します。 2つ目は、内部と外部の脅威情報を統合し、認識監視によって生成されたビッグデータに対してセキュリティリスクの分析と予測を行い、セキュリティの脅威に対する警告を発し、セキュリティの傾向を分析・判断し、ユーザーにリスクの「早期警告」を提供することです。 3つ目は、クラウドセキュリティ動的防御システムにおけるセキュリティ管理層です。インテリジェントな防御補助意思決定に基づいて、セキュリティサービス計画を実行し、セキュリティ防御展開、防御戦略、防御リソースおよびその他の保護計画を動的に生成し、防御「決定」を形成します。 4番目に、セキュリティサービス層は、セキュリティ防御調整計画に従って「応答」し、対応するセキュリティサービス機能をセキュリティプラットフォームに送信し、ソフトウェア定義のセキュリティサービスプラットフォームに基づいてセキュリティ防御を実装し、さまざまなセキュリティリスクイベントに抵抗します。

図5 動的クラウドセキュリティ防御システム

多機能の全体連携により、ネットワーク攻撃やシステムの脆弱性などのセキュリティリスクに対するリアルタイムのインテリジェント監視、検出分析、セキュリティ防御の統合を実現し、クラウド環境の動的なインテリジェント検出、識別、防御機能を効果的に向上させ、全体的なインテリジェント防御の有効性を高めます。

6. 結論

本稿では、クラウド コンピューティング セキュリティの基本フレームワークに基づいて、セキュリティ防御の柔軟な展開、効率的な保護、迅速な対応を実現し、多様化するセキュリティ ニーズやセキュリティ状況に対するクラウド コンピューティング環境の応答性を向上させる、ソフトウェア定義アーキテクチャに基づくインテリジェントでサービス指向の動的防御システムを提案します。対立が激化するサイバー空間におけるセキュリティゲームに対応するためには、クラウドセキュリティにおけるビッグデータ技術、人工知能などの応用、トラステッドコンピューティングとクラウドコンピューティングの統合[5]について詳細な研究を行い、複数の機能の深い有機的統合を実現し、インテリジェントな動的防御システムの構築をサポートし、クラウド環境に3次元的、詳細かつ動的な保護を提供する必要があります。