クラウド コンピューティング顧客向けの 5 ステップ IaaS セキュリティ チェックリスト

現在、多くの組織が仮想データセンター、オンプレミス サーバー、アプライアンスをほぼ完全に IaaS に置き換えています。この広範な実装では、使用量の増加に対応できるように IaaS 運用環境が安全であることを保証する必要があります。

PaaS または SaaS 環境と比較すると、IaaS を採用する顧客はより多くのセキュリティ責任に直面します。たとえば、SaaS では、OS パッチ適用などの OS 中心のタスクは顧客の制御の範囲外です。ただし、IaaS モデルでは、ワークロード (この場合は仮想コンピューティング イメージ) を顧客が制御するため、責任は顧客にあります。

[[380523]]

制御には責任が伴います。インフラストラクチャに対する制御を強化することで、IaaS 顧客はインフラストラクチャの安全性を確保する負担も負うことになります。 IaaS はスタックの下位に位置するため、ベストプラクティスをさまざまな使用法に合わせて調整する必要があり、具体的なセキュリティガイダンスを取得することが難しい場合があります。ただし、クラウド コンピューティング プロバイダーやユース ケース全体に普遍的に適用できる、選択できる IaaS セキュリティのベスト プラクティスがいくつかあります。

クラウド コンピューティングの顧客向け IaaS セキュリティ チェックリストの 5 つの重要なステップは次のとおりです。

1. クラウドプロバイダーのセキュリティモデルを理解する

IaaS サービスを使用する前に、組織の情報セキュリティ リーダーは、クラウド プロバイダーのセキュリティ モデルを理解していることを確認する必要があります。これは主に 2 つの理由で重要です。まず、クラウド コンピューティング プロバイダーは、類似の概念に対して異なる用語を使用します。たとえば、ユーザーは AWS だけでなく、Google Cloud Platform (GCP) のプロジェクトでもタグを使用してアセットを整理できます。しかし、これはクラウド セキュリティ ポリシーの変更の実装方法に影響を与える可能性があるため、用語を理解することで間違いを防ぐことができます。

第二に、運用の観点から重要です。ユーザーは、利用可能なセキュリティ機能と、それらの機能の潜在的な価値や制限を理解する必要があります。このような状況を考慮すると、情報セキュリティ リーダーは、これらの機能が効果的に使用されるように、運用プロファイルに必要な変更を特定する必要があります。

Amazon GuardDuty や Microsoft Defender for Identity (旧 Azure Advanced Threat Protection) などのサービスは概念的には非常に似ていますが、動作方法やユーザー オペレーターがそれらから価値を引き出す方法は大きく異なります。制御グラフを構築して、プロバイダー間の機能を比較できます。これは、マルチクラウド環境では特に重要です。

これらのチェックリストを使用して、クラウド プロバイダーに関係なく、IaaS セキュリティのベスト プラクティスを適用します。

2. 保存データを暗号化する

ほとんどのクラウド コンピューティング プロバイダー、特に大規模なプロバイダーは、IaaS プラットフォーム内で作成された仮想マシンを暗号化できます。この暗号化機能は通常、無料か、非常に低コストで提供されます。ユーザーは、独自のキーを管理するか、クラウド コンピューティング プロバイダーに管理させるかを選択できます。

財務上および運用上の影響が少ないことを考慮すると、この暗号化機能 (デフォルトで有効になっていない場合) を使用することは賢明な判断です。 IaaS セキュリティ チェックリストの最初のステップとして、保存時の暗号化が、バックアップやリカバリ機能など、クラウド プロバイダーが提供する他のサービスに影響を与えるかどうか、またどのように影響を与えるかを明確にしてください。

3. パッチを継続的に更新する

IaaS 顧客は主に、ワークロードを最新の状態に保つ責任を負います。ほとんどの場合、これにはオペレーティング システム自体と、それらのイメージにインストールされたソフトウェアが含まれます。オンプレミスのサーバーにパッチを適用してメンテナンスする必要があるのと同様に、クラウドのワークロードにも同じ手順を実行する必要があります。これは常識のように聞こえるかもしれませんが、一貫した更新パッチの適用は見た目よりもはるかに難しい場合があります。これは、クラウド コンピューティング リソースが異なるグループ内または異なる運用プロセスを通じて管理される場合に特に当てはまります。

4. 監視と在庫

クラウドベースまたはその他の資産については、常識を厳守してください。しかし、パッチ適用と同様に、監視機能は組織内のさまざまなグループに存在する可能性があります。さらに、クラウド コンピューティング プロバイダーは、さまざまなインターフェイスを通じてさまざまな監視メカニズムを提供します。これらの運用上の課題に対処するには、一貫性と効率性に優れたクラウド監視を実現するために、相当の計画と先見性が必要になります。したがって、セキュリティ リーダーは監視戦略を策定するために十分な時間を確保する必要があります。

さらに、組織は画像の最新のインベントリを維持する必要があります。 IaaS コンソールにはそこに存在するものがリストされますが、組織内の誰が何のために VM を使用しているかについての詳細は必ずしも含まれません。関連するコメントやタグを通じて、インベントリ システムと IaaS コンソールでインベントリ情報を管理すると役立ちます。これにより、セキュリティ チームは IaaS コンソール内で情報を相互参照し、複数のクラウド プラットフォームにわたってワークロードを追跡し、一目でワークロードを識別できるようになります。

5. アクセス権を管理する

IaaS では、IaaS セキュリティ チェックリストの一部として考慮すべき ID およびアクセス管理 (IAM) のディメンションが複数あります。まず、オペレーティング システムと、そこにインストールされているアプリケーションやミドルウェアにアクセスできます。次に、オペレーティング システム レベルでの特権アクセス (ルート アクセスまたは管理者アクセスを含む) を検討します。 IaaS のこれらの ID およびアクセス管理 (IAM) の考慮事項は、慎重に管理および制御する必要があります。

IaaS 内には他の固有のアクセス「レイヤー」があることに注意することが重要です。このレイヤーには、クラウド コンピューティング リソースの操作に関する情報を提供したり、操作に影響を与えたりする IaaS コンソールやその他のプログラム機能へのアクセスが含まれます。バックアップとリカバリ、キー管理、監査などの機能はすべて、リソースのセキュリティを確保する上で重要な役割を果たします。したがって、プロバイダー コンソールのこれらの領域に誰がどのような目的でアクセスできるかを理解することが重要です。

組織は Instant Access などの機能を使用して、必要な場合にのみアクセスを提供できます。ジャンプ サーバーを使用して、アクセス権限を一元的に統合し、均一な監視を確保し、ワークロードの攻撃対象領域を最小限に抑えます。