現在、多くの組織が仮想データセンター、オンプレミス サーバー、アプライアンスをほぼ完全に IaaS に置き換えています。この広範な実装では、使用量の増加に対応できるように IaaS 運用環境が安全であることを保証する必要があります。 PaaS または SaaS 環境と比較すると、IaaS を採用する顧客はより多くのセキュリティ責任に直面します。たとえば、SaaS では、OS パッチ適用などの OS 中心のタスクは顧客の制御の範囲外です。ただし、IaaS モデルでは、ワークロード (この場合は仮想コンピューティング イメージ) を顧客が制御するため、責任は顧客にあります。
制御には責任が伴います。インフラストラクチャに対する制御を強化することで、IaaS 顧客はインフラストラクチャの安全性を確保する負担も負うことになります。 IaaS はスタックの下位に位置するため、ベストプラクティスをさまざまな使用法に合わせて調整する必要があり、具体的なセキュリティガイダンスを取得することが難しい場合があります。ただし、クラウド コンピューティング プロバイダーやユース ケース全体に普遍的に適用できる、選択できる IaaS セキュリティのベスト プラクティスがいくつかあります。 クラウド コンピューティングの顧客向け IaaS セキュリティ チェックリストの 5 つの重要なステップは次のとおりです。 1. クラウドプロバイダーのセキュリティモデルを理解する IaaS サービスを使用する前に、組織の情報セキュリティ リーダーは、クラウド プロバイダーのセキュリティ モデルを理解していることを確認する必要があります。これは主に 2 つの理由で重要です。まず、クラウド コンピューティング プロバイダーは、類似の概念に対して異なる用語を使用します。たとえば、ユーザーは AWS だけでなく、Google Cloud Platform (GCP) のプロジェクトでもタグを使用してアセットを整理できます。しかし、これはクラウド セキュリティ ポリシーの変更の実装方法に影響を与える可能性があるため、用語を理解することで間違いを防ぐことができます。 第二に、運用の観点から重要です。ユーザーは、利用可能なセキュリティ機能と、それらの機能の潜在的な価値や制限を理解する必要があります。このような状況を考慮すると、情報セキュリティ リーダーは、これらの機能が効果的に使用されるように、運用プロファイルに必要な変更を特定する必要があります。 Amazon GuardDuty や Microsoft Defender for Identity (旧 Azure Advanced Threat Protection) などのサービスは概念的には非常に似ていますが、動作方法やユーザー オペレーターがそれらから価値を引き出す方法は大きく異なります。制御グラフを構築して、プロバイダー間の機能を比較できます。これは、マルチクラウド環境では特に重要です。 これらのチェックリストを使用して、クラウド プロバイダーに関係なく、IaaS セキュリティのベスト プラクティスを適用します。 2. 保存データを暗号化する ほとんどのクラウド コンピューティング プロバイダー、特に大規模なプロバイダーは、IaaS プラットフォーム内で作成された仮想マシンを暗号化できます。この暗号化機能は通常、無料か、非常に低コストで提供されます。ユーザーは、独自のキーを管理するか、クラウド コンピューティング プロバイダーに管理させるかを選択できます。 財務上および運用上の影響が少ないことを考慮すると、この暗号化機能 (デフォルトで有効になっていない場合) を使用することは賢明な判断です。 IaaS セキュリティ チェックリストの最初のステップとして、保存時の暗号化が、バックアップやリカバリ機能など、クラウド プロバイダーが提供する他のサービスに影響を与えるかどうか、またどのように影響を与えるかを明確にしてください。 3. パッチを継続的に更新する IaaS 顧客は主に、ワークロードを最新の状態に保つ責任を負います。ほとんどの場合、これにはオペレーティング システム自体と、それらのイメージにインストールされたソフトウェアが含まれます。オンプレミスのサーバーにパッチを適用してメンテナンスする必要があるのと同様に、クラウドのワークロードにも同じ手順を実行する必要があります。これは常識のように聞こえるかもしれませんが、一貫した更新パッチの適用は見た目よりもはるかに難しい場合があります。これは、クラウド コンピューティング リソースが異なるグループ内または異なる運用プロセスを通じて管理される場合に特に当てはまります。 4. 監視と在庫 クラウドベースまたはその他の資産については、常識を厳守してください。しかし、パッチ適用と同様に、監視機能は組織内のさまざまなグループに存在する可能性があります。さらに、クラウド コンピューティング プロバイダーは、さまざまなインターフェイスを通じてさまざまな監視メカニズムを提供します。これらの運用上の課題に対処するには、一貫性と効率性に優れたクラウド監視を実現するために、相当の計画と先見性が必要になります。したがって、セキュリティ リーダーは監視戦略を策定するために十分な時間を確保する必要があります。 さらに、組織は画像の最新のインベントリを維持する必要があります。 IaaS コンソールにはそこに存在するものがリストされますが、組織内の誰が何のために VM を使用しているかについての詳細は必ずしも含まれません。関連するコメントやタグを通じて、インベントリ システムと IaaS コンソールでインベントリ情報を管理すると役立ちます。これにより、セキュリティ チームは IaaS コンソール内で情報を相互参照し、複数のクラウド プラットフォームにわたってワークロードを追跡し、一目でワークロードを識別できるようになります。 5. アクセス権を管理する IaaS では、IaaS セキュリティ チェックリストの一部として考慮すべき ID およびアクセス管理 (IAM) のディメンションが複数あります。まず、オペレーティング システムと、そこにインストールされているアプリケーションやミドルウェアにアクセスできます。次に、オペレーティング システム レベルでの特権アクセス (ルート アクセスまたは管理者アクセスを含む) を検討します。 IaaS のこれらの ID およびアクセス管理 (IAM) の考慮事項は、慎重に管理および制御する必要があります。 IaaS 内には他の固有のアクセス「レイヤー」があることに注意することが重要です。このレイヤーには、クラウド コンピューティング リソースの操作に関する情報を提供したり、操作に影響を与えたりする IaaS コンソールやその他のプログラム機能へのアクセスが含まれます。バックアップとリカバリ、キー管理、監査などの機能はすべて、リソースのセキュリティを確保する上で重要な役割を果たします。したがって、プロバイダー コンソールのこれらの領域に誰がどのような目的でアクセスできるかを理解することが重要です。 組織は Instant Access などの機能を使用して、必要な場合にのみアクセスを提供できます。ジャンプ サーバーを使用して、アクセス権限を一元的に統合し、均一な監視を確保し、ワークロードの攻撃対象領域を最小限に抑えます。 |
<<: インターネット上で「最も醜い」認証コードがオンラインになり、医療画像の注釈付けと診断に役立つ
みなさんこんにちは。私はハルビン仮想および現実ウェブサイト設計です。最近、いくつかの新しいウェブサイ...
9月の初めに、私はSina WeiboのUDC部門でインタラクティブデザインのインターンシップをしま...
デジタル化は新たな社会のホットスポットおよびトレンドになりつつあります。企業はデジタルトランスフォー...
imidc は、香港と台湾のデータ センターの独立サーバーを 30% 割引という大幅な割引価格で提供...
少し前に、ウェブマスターフォーラムで、ウェブマスターがどのようにウェブサイトを運営し、コアユーザーを...
月収10万元の起業の夢を実現するミニプログラム起業支援プランまず、2つの概念を明確にする必要がありま...
月収10万元の起業の夢を実現するミニプログラム起業支援プランSEO 最適化は現在一般的なプロモーショ...
SEO に携わっていると、クライアントからウェブサイトの問題を解決してほしいとよく頼まれます。クライ...
新華網長春5月3日(記者 趙孟卓)新しい消費者保護法が施行されて1か月以上が経過した。多くのオンライ...
4月初旬、「テンセントクラウドソリューション推進会議」が武漢で成功裏に開催されました。海雲捷運はパー...
エッジ コンピューティングは成熟しており、ある業界で学んだ教訓や開発されたソリューションを、別の業界...
[[433936]]今日は、分散環境で一意の ID を生成することを主な機能とするオープンソース プ...
月収10万元の起業の夢を実現するミニプログラム起業支援プランSEO 編集者は、特に Baidu Be...
検索エンジンには、クロールとインデックス作成、そして関連性と重要度に応じて結果の回答をランク付けする...
長年にわたり、増え続けるデータに直面し、IT マネージャーはデータ管理のコストと複雑さを圧縮し、最小...