オンプレミス システムと並行してホスト型クラウド コンピューティング インフラストラクチャを急いで導入する企業は、潜在的なセキュリティの脅威を十分に理解または対処できない可能性があります。 クラウド コンピューティング テクノロジーの採用が増加するにつれて、企業はさまざまなクラウド ベース テクノロジーの急速かつ頻繁な導入から生じるさまざまな新たな潜在的な脅威にも直面しています。クラウドコンピューティング・セキュリティコンサルティング会社Trimarcの創設者ショーン・メトカーフ氏は、企業はハイブリッドクラウド技術の導入について特に懸念していると語った。
ハイブリッド クラウドは、オンプレミスのインフラストラクチャとクラウドでホストされるインフラストラクチャおよびサービスの組み合わせです。 IaaS プロバイダーは通常、クラウド コンピューティングの大手企業 (AWS、Microsoft Azure、Google Cloud など) です。メトカーフ氏は、オンプレミスのデータセンターをクラウドに拡張するということは、基本的に、クラウドが VMware や Microsoft Hyper V などの仮想化ホストとして効果的に実行されることを意味すると述べました。 この効果的な仮想化により、これらのクラウド データ センター要素に関連する攻撃は VMware や Hyper V が攻撃される方法と似ていますが、これらは Microsoft、AWS、または Google Cloud によってホストされている可能性があります。 これらの大手ホスティング会社のホスティング インフラストラクチャは、機能や構成がそれぞれ異なるため、企業にとってこのインフラストラクチャのセキュリティ保護はより複雑になります。こうした複雑さは、複数のクラウド コンピューティング サーバーに仮想マシン (VM) インスタンスがインストールされていることが多い大規模な組織に特に当てはまります。メトカーフ氏は、誰でもクラウド サブスクリプションまたはアカウントにサインアップできるため、企業が複数のクラウド プロバイダーを使用するのは一般的であり、つまり各事業部門が独自のサブスクリプションまたはアカウントとテナントを設定できると述べています。 Salesforce、Workday、Office 365 などのハイブリッド クラウドの他のオプションを考慮すると、課題はさらに大きくなります。これらの各 SaaS 要素には独自の要件があり、オンプレミス環境で構成された同期ツールを使用します。クラウド コンピューティング環境には、オンプレミス インフラストラクチャ (通常は Windows ドメイン ネットワークのディレクトリ サービスである Active Directory) からの大量の情報が存在することがよくあります。 「課題があるのは当然だが、こうした接続ポイントには、あまり見られなかったり、よく理解されていない興味深いセキュリティ上のトレードオフが伴うことが多い」とメトカーフ氏は述べた。たとえば、サイバー攻撃者は、Active Directory から、Active Directory の ID および認証システムをホストするサーバーであるドメイン コントローラーに侵入する可能性があります。これはサイバー攻撃者にとっての主要な標的となっています。 クラウドコンピューティングへの急速な移行により、ITチームのセキュリティが重視されるようになる 組織がクラウドへの移行を急いでいるため、IT チームのセキュリティ負担が増加しています。 「このアプローチによって、運用チームとセキュリティ チームが足を引っ張られることが多すぎる」とメトカーフ氏は言う。 「ビジネスリーダーたちは、これが彼らが向かっている方向だと言っている。」 ハイブリッド クラウド環境におけるもう 1 つの大きな問題は、アイデンティティとアクセス管理 (IAM) です。これは、最良の状況でも、ユーザーがアクセスすべきシステム要素にのみアクセスできるようにするという、企業にとっての絶え間ない課題です。 「人々がよく気付いていないもう一つのことは、クラウドプロバイダーでテナント、サブスクリプション、またはアカウントを最初に作成した人が管理者権限を保持するということです」とメトカーフ氏は言う。 「ハイブリッド クラウド環境ですべてのワークロードを実行する場合、サーバー管理者にすべてに対する完全なアクセス権が付与されることがよくあります。AWS、Azure、Google Cloud Platform はそれぞれアクセス ロールを異なる方法で管理するため、組織は必要なスケジュールのために急いで作業を完了させようとすることがよくあります。これらのロールは過剰に付与されることが多いため、うまくいかないことがあります。」 技術チームはハイブリッドクラウドを理解するためのサポートを必要としている これらの潜在的なセキュリティ リスクに加えて、クラウド コンピューティング環境を真に理解している人はほとんどいません。 「クラウドコンピューティングやクラウドへの移行計画について話すとき、最初は非常に複雑なものになります。クラウドコンピューティングは多くの人にとって新しいものであり、毎週、毎月変化するからです」とメトカーフ氏は語った。 「それを維持していくのは大変な仕事だが、それは可能だ。」 そのため、メトカーフ氏は、企業が従業員や技術スタッフ(運用スタッフやセキュリティ スタッフを含む)にクラウド環境をより深く理解するために必要なサポートを確実に提供することを推奨しています。このサポートを提供する際には、すべての管理者アカウントにクラウド プロバイダーまたは関連システムを通じて多要素認証が構成されていることを確認することを Metcalf 氏は推奨しています。同氏は、2019年に収集されたデータによると、クラウドアクセスに多要素認証を使用している管理者は8%未満であることが示されていると指摘した。利用できない場合は、サイバー攻撃者がアカウントを制御する可能性を軽減するための良い方法であるため、ベンダーに利用可能にするよう依頼してください。 クラウドコンピューティングの管理を本番ワークステーションから切り離す もう 1 つの重要な推奨事項は、環境内のユーザー ワークステーションが管理アクティビティやタスクを実行しないようにすることです。これにより、サイバー攻撃者が政権の形成に使用されたアイデンティティを抽出したり侵害したりすることがより困難になります。ほとんどの組織で構成されている一般的なワークステーションは、サイバー攻撃者による侵入を防ぐのに十分な保護が施されていません。組織は、これらの特権資格情報が適切に保護され、ユーザーがシステム上で実行する通常のアクティビティから分離されていることを確認する必要があります。 クラウド コンピューティングの管理には通常、Web ブラウザーが使用されます。 「ほとんどのシステムにおいて、ウェブブラウザが最も安全なアプリケーションではないことはわかっている」とメトカーフ氏は語った。 「しかし、管理者はこれらの Web ポータルを頻繁に使用するため、Firefox や Chrome を開いて管理するだけになる可能性が高く、これは大きなリスクです。」 ハイブリッド クラウド環境におけるリスクのほとんどは、組織が直面する複雑な技術的課題から生じますが、クラウド プロバイダー自体もセキュリティ リスクから免れるわけではありません。 Metcalf 氏は、世界最大の 3 つのクラウド プロバイダー (AWS、Microsoft、Google) のホストされた Active Directory 環境を確認しているときに、クラウド プロバイダーの 1 つの Active Directory 環境に脆弱性があることを発見しました。現在、クラウド プロバイダーはこの脆弱性を修正中です。 最後に、クラウド コンピューティング環境は常に変化しており、組織は悪意のある行為者を阻止するために継続的に取り組む必要があります。 「セキュリティの観点からクラウドコンピューティングの興味深い点の1つは、顧客は新しい機能が追加されていることに気付かないことが多いが、攻撃者が最初にそれを発見して悪用し始める可能性が高いことだ」とメトカーフ氏は述べた。 |
<<: アプリケーションの最新化を「より速く、より良く、より安く」実現するというのは誤った提案でしょうか?
>>: Alibaba Cloud モニタリングに一貫性がないように見えますか?それではGrafanaのソリューションを見てみましょう
RIPE メンバー (こちらを参照) + AS59432 (こちらを参照) である ginernet...
ウェブサイトを構築する目的は、ウェブサイトを通じて、特定の顧客からの相談、顧客の協力、顧客の購入をも...
上海の記者タオ・リー先日の中国経済人オブ・ザ・イヤー授賞式で、王建林氏が「近いうちにジャック・マー氏...
最近では、純粋な SEO に取り組む人はますます少なくなっています。多くの SEO 実践者は、主にオ...
著者が運営するDazhou Home Decoration Networkは、3年以上運営されていま...
VPSレンタル事業者は多すぎて、初心者がそれを見分けるのは本当に難しいです。海外の VPS をレンタ...
SEO 最適化を始めたばかりの方は、検索エンジン スパイダー (検索エンジンが Web ページをクロ...
ビジネスを始めることは、インターネット業界で働く多くの人が抱いたことがあるアイデアです。良いプロジェ...
「クラウド コンピューティング アーキテクチャにおけるクラウド TiDB の技術的秘密 (パート 1...
2019 年、すべてのネットワーク マーケティング担当者は次の 3 つのジレンマに直面しています。 ...
はじめに:本日、Sina WeiboとTaobaoが共同で作成した一連の製品機能が正式にリリースされ...
独立IPを持つことは、ウェブサイトを構築する上で常に私の願いでしたが、価格が高すぎると考え、これまで...
ミミ・メンにとって、WeChatのパブリックアカウントは2か月間自主的に停止され、Weiboの永久閉...
ベトナムの会社であるvhost.vn (0310213840) は、8年間運営されています。同社の事...
2018年、ハッカーがAmazon上のTeslaのKubernetesコンテナクラスターに侵入した。...