ハイブリッドクラウドの複雑さと導入の急ぎがセキュリティリスクをもたらすと専門家は言う

オンプレミス システムと並行してホスト型クラウド コンピューティング インフラストラクチャを急いで導入する企業は、潜在的なセキュリティの脅威を十分に理解または対処できない可能性があります。

クラウド コンピューティング テクノロジーの採用が増加するにつれて、企業はさまざまなクラウド ベース テクノロジーの急速かつ頻繁な導入から生じるさまざまな新たな潜在的な脅威にも直面しています。クラウドコンピューティング・セキュリティコンサルティング会社Trimarcの創設者ショーン・メトカーフ氏は、企業はハイブリッドクラウド技術の導入について特に懸念していると語った。

[[341742]]

ハイブリッド クラウドは、オンプレミスのインフラストラクチャとクラウドでホストされるインフラストラクチャおよびサービスの組み合わせです。 IaaS プロバイダーは通常、クラウド コンピューティングの大手企業 (AWS、Microsoft Azure、Google Cloud など) です。メトカーフ氏は、オンプレミスのデータセンターをクラウドに拡張するということは、基本的に、クラウドが VMware や Microsoft Hyper V などの仮想化ホストとして効果的に実行されることを意味すると述べました。

この効果的な仮想化により、これらのクラウド データ センター要素に関連する攻撃は VMware や Hyper V が攻撃される方法と似ていますが、これらは Microsoft、AWS、または Google Cloud によってホストされている可能性があります。

これらの大手ホスティング会社のホスティング インフラストラクチャは、機能や構成がそれぞれ異なるため、企業にとってこのインフラストラクチャのセキュリティ保護はより複雑になります。こうした複雑さは、複数のクラウド コンピューティング サーバーに仮想マシン (VM) インスタンスがインストールされていることが多い大規模な組織に特に当てはまります。メトカーフ氏は、誰でもクラウド サブスクリプションまたはアカウントにサインアップできるため、企業が複数のクラウド プロバイダーを使用するのは一般的であり、つまり各事業部門が独自のサブスクリプションまたはアカウントとテナントを設定できると述べています。

Salesforce、Workday、Office 365 などのハイブリッド クラウドの他のオプションを考慮すると、課題はさらに大きくなります。これらの各 SaaS 要素には独自の要件があり、オンプレミス環境で構成された同期ツールを使用します。クラウド コンピューティング環境には、オンプレミス インフラストラクチャ (通常は Windows ドメイン ネットワークのディレクトリ サービスである Active Directory) からの大量の情報が存在することがよくあります。

「課題があるのは当然だが、こうした接続ポイントには、あまり見られなかったり、よく理解されていない興味深いセキュリティ上のトレードオフが伴うことが多い」とメトカーフ氏は述べた。たとえば、サイバー攻撃者は、Active Directory から、Active Directory の ID および認証システムをホストするサーバーであるドメイン コントローラーに侵入する可能性があります。これはサイバー攻撃者にとっての主要な標的となっています。

クラウドコンピューティングへの急速な移行により、ITチームのセキュリティが重視されるようになる

組織がクラウドへの移行を急いでいるため、IT チームのセキュリティ負担が増加しています。 「このアプローチによって、運用チームとセキュリティ チームが足を引っ張られることが多すぎる」とメトカーフ氏は言う。 「ビジネスリーダーたちは、これが彼らが向かっている方向だと言っている。」

ハイブリッド クラウド環境におけるもう 1 つの大きな問題は、アイデンティティとアクセス管理 (IAM) です。これは、最良の状況でも、ユーザーがアクセスすべきシステム要素にのみアクセスできるようにするという、企業にとっての絶え間ない課題です。 「人々がよく気付いていないもう一つのことは、クラウドプロバイダーでテナント、サブスクリプション、またはアカウントを最初に作成した人が管理者権限を保持するということです」とメトカーフ氏は言う。 「ハイブリッド クラウド環境ですべてのワークロードを実行する場合、サーバー管理者にすべてに対する完全なアクセス権が付与されることがよくあります。AWS、Azure、Google Cloud Platform はそれぞれアクセス ロールを異なる方法で管理するため、組織は必要なスケジュールのために急いで作業を完了させようとすることがよくあります。これらのロールは過剰に付与されることが多いため、うまくいかないことがあります。」

技術チームはハイブリッドクラウドを理解するためのサポートを必要としている

これらの潜在的なセキュリティ リスクに加えて、クラウド コンピューティング環境を真に理解している人はほとんどいません。 「クラウドコンピューティングやクラウドへの移行計画について話すとき、最初は非常に複雑なものになります。クラウドコンピューティングは多くの人にとって新しいものであり、毎週、毎月変化するからです」とメトカーフ氏は語った。 「それを維持していくのは大変な仕事だが、それは可能だ。」

そのため、メトカーフ氏は、企業が従業員や技術スタッフ（運用スタッフやセキュリティ スタッフを含む）にクラウド環境をより深く理解するために必要なサポートを確実に提供することを推奨しています。このサポートを提供する際には、すべての管理者アカウントにクラウド プロバイダーまたは関連システムを通じて多要素認証が構成されていることを確認することを Metcalf 氏は推奨しています。同氏は、2019年に収集されたデータによると、クラウドアクセスに多要素認証を使用している管理者は8%未満であることが示されていると指摘した。利用できない場合は、サイバー攻撃者がアカウントを制御する可能性を軽減するための良い方法であるため、ベンダーに利用可能にするよう依頼してください。

クラウドコンピューティングの管理を本番ワークステーションから切り離す

もう 1 つの重要な推奨事項は、環境内のユーザー ワークステーションが管理アクティビティやタスクを実行しないようにすることです。これにより、サイバー攻撃者が政権の形成に使用されたアイデンティティを抽出したり侵害したりすることがより困難になります。ほとんどの組織で構成されている一般的なワークステーションは、サイバー攻撃者による侵入を防ぐのに十分な保護が施されていません。組織は、これらの特権資格情報が適切に保護され、ユーザーがシステム上で実行する通常のアクティビティから分離されていることを確認する必要があります。

クラウド コンピューティングの管理には通常、Web ブラウザーが使用されます。 「ほとんどのシステムにおいて、ウェブブラウザが最も安全なアプリケーションではないことはわかっている」とメトカーフ氏は語った。 「しかし、管理者はこれらの Web ポータルを頻繁に使用するため、Firefox や Chrome を開いて管理するだけになる可能性が高く、これは大きなリスクです。」

ハイブリッド クラウド環境におけるリスクのほとんどは、組織が直面する複雑な技術的課題から生じますが、クラウド プロバイダー自体もセキュリティ リスクから免れるわけではありません。 Metcalf 氏は、世界最大の 3 つのクラウド プロバイダー (AWS、Microsoft、Google) のホストされた Active Directory 環境を確認しているときに、クラウド プロバイダーの 1 つの Active Directory 環境に脆弱性があることを発見しました。現在、クラウド プロバイダーはこの脆弱性を修正中です。

最後に、クラウド コンピューティング環境は常に変化しており、組織は悪意のある行為者を阻止するために継続的に取り組む必要があります。 「セキュリティの観点からクラウドコンピューティングの興味深い点の1つは、顧客は新しい機能が追加されていることに気付かないことが多いが、攻撃者が最初にそれを発見して悪用し始める可能性が高いことだ」とメトカーフ氏は述べた。