ID とアクセス管理の問題がハイブリッドおよびマルチクラウドの導入を妨げているのでしょうか?

[[392873]]

クラウド プラットフォームにおける ID およびアクセス管理に関する懸念により、制御とセキュリティのギャップが認識され、組織の移行が遅れる可能性があります。

IT 意思決定者は、クラウドへの移行に躊躇したり、アイデンティティおよびアクセス管理 (IAM) やクラウド コンピューティングのセキュリティに関する懸念を抱いている場合があります。 ForgerRock と Google Cloud が委託し最近発表された Forrester のレポートによると、多くの組織が今後 2 年間でこうした問題に適切に対処するための対策を講じる予定です。

Forrester の副社長兼主席アナリストである Andras Cser 氏は、IT に関連するアイデンティティ管理は一般的に 2 つのカテゴリに分類されると述べています。1 つは、比較的問題のないクラウド内のアプリケーションにアクセスするビジネス ユーザーです。もう 1 つは、クラウド コンピューティング コンソールにログインして変更を加えることができる管理者などの特権ユーザーです。

そこに潜在的な懸念がある、とチェル氏は述べた。 「クラウドコンピューティング技術の開発と応用は、アイデンティティ認証技術をはるかに上回っており、クラウドプラットフォームコンソールを管理する際に、管理者タイプのユーザーのアイデンティティアクセス権を確実に制御するメカニズムが不足している」と同氏は述べた。

つまり、組織はそのような特権ユーザーへのアクセスをどのように付与するかに苦慮している可能性がある、とCser氏は述べた。 「これは、これらのユーザーのアクセスに過剰な許可や特権が多すぎる場合が多かったことも意味している」と彼は述べた。 「これらのユーザーを確実に認証する方法がなかったこともあります。」

1 つの ID がインスタンス、ストレージ、ネットワークなどのクラウド内のオブジェクトやリソースにどのようにアクセスできるかといったアクセス権限を理解することも難しいと彼は述べた。 Cser は、その問題にはセキュリティと、誰がどのコンテンツにアクセスできるかという絡み合った懸念が含まれると述べた。 「クラウドで誰が何かできるかを理解することさえ非常に難しい」と彼は語った。 「オーバーレイで管理者ユーザーがアクセスできるものを決定する必要があるためです。それが問題です。」

その結果、あるポリシーセットではユーザーへのアクセスを拒否する一方で、別のポリシーセットでは互いに独立してすべての層へのアクセスを許可することになり、混乱が生じる可能性がある、と彼は述べた。

情報技術調査会社 Omdia はレポートの中で、オンプレミスの施設からハイブリッド マルチクラウド戦略を策定する際には、組織がいくつかの要素を考慮する必要があると述べています。

• 新しい環境をサポートできるかどうか、ローカルの IAM プロバイダーにお問い合わせください。 ID サービス インフラストラクチャ全体をプロバイダーに置き換えるよりも、ID サービスを追加する方が混乱が少ないことが証明されました。

• IAM プロバイダーが代替手段があることを示している場合、ベンダー調査レポートで主要なプレーヤーの概要とその長所と短所を提供できます。

Omdiaが発表した「2021年クラウドサービスとリーダーシップ戦略に関する企業調査」レポートによると、ハイブリッドクラウドとマルチクラウド市場は今後も成長を続けると予想されています。 Omdia の IT およびエンタープライズ担当主席アナリスト、ロイ・イルズリー氏は、ハイブリッドおよびマルチクラウドではアイデンティティとアクセスがより重要な問題になる可能性が高いと述べています。 「ハイブリッドとマルチクラウドの世界が現実になると、アイデンティティとアクセスが大きな課題になるだろう」と彼は語った。

Cser 氏は、アイデンティティとアクセス管理の問題を解決することで、組織がクラウドに移行し、データを保護しながらクラウドでワークロードを維持することが容易になると指摘しました。 「すべてはデータ保護にかかっており、誤った設定はサイバー攻撃の媒介となる」と彼は語った。

チェー氏は、クラウドコンピューティングの性質と監視の欠如がジレンマの大きな要因であると述べた。 「例えば、プロジェクトを計画している開発者は、何かを構築した後に不必要な権限を取り消さなければならない状況にはなりたくないはずだ」と同氏は語った。 「開発者は通常、自分の仕事を終わらせてアプリケーションを開発したいだけです。セキュリティやアクセスの取り消しについて心配したくありません。」

たとえば、リソースやオブジェクトを作成するプロセス中、開発者はリソースを比較的オープンなままにしておく可能性があるが、開発後にはアクセスを削除したり暗号化したりするためのフォローアップ手順を実行する必要がある、と Cser 氏は述べた。 「最後のステップは実行されないことが多い」と彼は語った。 「彼らは積極的にクリーンアップしたり権限を取り消したりしません。サービスが開始されると、たとえ一時的なものであっても、誰もそれを停止することはありません。」

チェル氏は、生産の変更によって機能性が損なわれるのではないかと人々が心配するかもしれないと述べた。 「誰もリスクを負いたくない」と彼は言った。 「こうした懸念は、より多くの組織に影響を及ぼすでしょう。クラウド コンピューティング サービスを利用しているすべての人にとって、これは大きな懸念事項です。データ保護が最大の問題ですが、クラウドにはデータ センターのような物理的な境界がないため、構成ミスや過剰な権限付与も大きな問題です。」

Cser 氏は、クラウド コンピューティングでは、スクリプトとコードによってインスタンスの場所、使用可能なメモリの量、および制御できないその他の要素を決定できると述べました。これらの問題に対処するには、DivvyCloud、Palo Alto Networks、Dome9 の製品をクラウド セキュリティ ポスチャ管理に使用できます。

AWS、Microsoft Azure、Google Cloudなどのクラウドプラットフォームには状態管理機能が組み込まれている可能性があるが、通常は独自のシステムのみをカバーしていると彼は述べた。 「Azure のクラウド セキュリティ態勢管理を AWS やその他のクラウド サービスを保護するために使用することはできません」と Cser 氏は述べています。 「プラットフォームごとに異なるポスチャ管理ツールを使用する手間を省き、それらの管理機能を 1 つのツールに一元化したいと考えています。」