ハイブリッドクラウドは重要なデータの潜在的な漏洩を減らすことができる

ハイブリッド クラウド セキュリティとは、少なくとも 1 つのパブリック クラウドまたはプライベート クラウドを含む複数の IT 環境にわたって、ある程度のワークロードの移植性、オーケストレーション、管理を組み込んだ IT アーキテクチャに関連付けられたデータ、アプリケーション、インフラストラクチャを保護することです。

ハイブリッド クラウドは、データの潜在的な露出を減らす機会を提供します。機密データや重要なデータをパブリック クラウドの外部に保持しながら、そのデータにクラウドを活用することで、それに伴うリスクを回避できます。

[[317746]]

セキュリティ強化のためにハイブリッド クラウドを選択する理由

ハイブリッド クラウドにより、企業はコンプライアンス、監査、ポリシー、セキュリティ要件に基づいてワークロードとデータを配置する場所を選択できます。

ハイブリッド クラウドを構成するさまざまな環境はそれぞれ固有の独立したエンティティのままですが、それらの間の移行は、リソースとワークロードの転送を容易にするコンテナーまたは暗号化されたアプリケーション プログラミング インターフェイス (API) を通じて実現されます。この別個でありながら接続されたアーキテクチャにより、企業は重要なワークロードをプライベート クラウドで実行し、機密性の低いワークロードをパブリック クラウドで実行できるようになります。この構成により、データ漏洩を最小限に抑え、企業は柔軟な IT 製品ポートフォリオをカスタマイズできるようになります。

ハイブリッド クラウド セキュリティの課題は何ですか?

データを保護する

暗号化により組織のデータの公開を制限します。同じデータが異なる時間に転送中または保存中になります。両方の州でデータの公開を制限するには、さまざまなセキュリティ対策が必要です。

コンプライアンスとガバナンス

医療、金融、政府などの規制の厳しい分野で働いている場合、ハイブリッド クラウド インフラストラクチャには追加の考慮事項が伴う可能性があります。分散環境を検査して要件を満たしているかどうかを確認する方法を知っている。カスタムまたは規制のセキュリティ ベースラインを実装する方法。セキュリティ監査の準備方法について説明します。

サプライチェーンのセキュリティ

ハイブリッド クラウド環境には、複雑なエコシステム内の複数のベンダーの製品やソフトウェアが含まれることがよくあります。ベンダーがソフトウェアと製品をどのようにテストし、管理しているかを確認します。ベンダーがソース コードをいつ、どのように検査するか、実装ガイドラインにどのように、どのような方法で従うか、ベンダーがいつ、どのように更新とパッチを提供するかを理解します。

ハイブリッドクラウドセキュリティのコンポーネント

一般的なコンピュータ セキュリティと同様に、ハイブリッド クラウド セキュリティは、物理的、技術的、管理的の 3 つのコンポーネントで構成されます。

物理的なコントロールは、実際のハードウェアを保護するために存在します。例としては、錠前、警備員、防犯カメラなどが挙げられます。

技術的制御とは、暗号化、ネットワーク認証、管理ソフトウェアなど、IT システム自体に組み込まれた保護機能です。ハイブリッド クラウド向けの最も強力なセキュリティ ツールの多くは、技術的な制御です。

最後に、管理制御は、トレーニングや災害計画など、安全性を高める方法で人々が行動できるように設計された手順です。

ハイブリッドクラウドセキュリティの物理的制御

ハイブリッド クラウドは複数の場所にまたがる可能性があるため、物理的なセキュリティが特に課題となります。すべてのマシンの周囲に境界を構築してドアをロックすることはできません。

パブリック クラウドなどの共有リソースの場合、クラウド プロバイダーとサービス レベル契約 (SLA) を締結し、満たされる物理的なセキュリティ標準を定義している可能性があります。たとえば、一部のパブリック クラウド プロバイダーは、政府機関の顧客と契約を結び、物理ハードウェアにアクセスできる担当者を制限しています。

ただし、適切な SLA が確立されている場合でも、パブリック クラウド プロバイダーに依存すると、ある程度の制御を放棄することになります。つまり、他のセキュリティ制御がより重要になります。

ハイブリッドクラウドセキュリティの技術的制御

技術的な制御はハイブリッド クラウド セキュリティの中核です。ハイブリッド クラウドの集中管理により、技術的な制御の実装が容易になります。

ハイブリッド クラウド ツールボックスの強力な技術的制御には、暗号化、自動化、オーケストレーション、アクセス制御、エンドポイント セキュリティなどがあります。

暗号化

暗号化により、たとえ物理的なコンピュータが侵害された場合でも、読み取り可能なデータが公開されるリスクが大幅に軽減されます。

保存中のデータと移動中のデータを暗号化できます。方法は次のとおりです。

保存中のデータを保護します:

• フルディスク（パーティション暗号化）により、コンピューターの電源がオフのときにもデータが保護されます。ハード ドライブのパーティションを一括暗号化できる Linux On-Disk Unified Key Setup (LUSK) 形式を使用してみてください。
• ハードウェア暗号化により、ハードドライブを不正アクセスから保護します。暗号化キーを保存するハードウェア チップである Trusted Platform Module (TPM) を使用してみてください。 TPM が有効になっている場合、ユーザーがログインを確認できるまでハード ドライブはロックされます。
• 手動でパスワードを入力せずにルートボリュームを暗号化します。高度に自動化されたクラウド環境を構築している場合は、その上で暗号化を自動化します。 Linux を使用している場合は、物理マシンと仮想マシンの両方で動作する Network Bound Disk Encryption (NBDE) を試してください。ボーナス: TPM を NBDE の一部にして、2 層のセキュリティを提供します (NMDE はネットワーク環境の保護に役立ち、TPM はローカルで動作します)。

移動中のデータの保護:

• Web セッションを暗号化します。移動中のデータは、傍受され、変更されるリスクがはるかに高くなります。暗号化技術を使用するインターネット プロトコルの拡張機能であるインターネット プロトコル セキュリティ (IPsec) を試してください。
• すでに安全基準を達成している製品をお選びください。暗号化モジュールを使用して高リスクデータを保護する連邦情報処理標準 (FIPS) 出版物 140-2 をサポートする製品を探してください。

オートメーション

自動化がハイブリッド クラウドに適している理由を理解するには、手動による監視とパッチ適用の欠点を考慮してください。

セキュリティとコンプライアンスを手動で監視すると、メリットよりもリスクの方が大きくなることがよくあります。手動のパッチ適用と構成管理では、非同期に実装されるリスクがあります。また、セルフサービス システムの実装も難しくなります。セキュリティ侵害が発生した場合、手動パッチと構成の記録が失われ、チーム間の争いや責任の押し付け合いにつながる可能性があります。さらに、手動のプロセスではエラーが発生しやすくなり、時間がかかります。

対照的に、自動化により、リスクに反応するのではなく、リスクを先取りできるようになります。自動化により、ルールの設定、プロセスの共有、検証が可能になり、最終的にはセキュリティ監査に合格しやすくなります。ハイブリッド クラウド環境を評価するときは、次のプロセスの自動化を検討してください。

• 環境を監視します。
• コンプライアンスを確認します。
• パッチを実装します。
• カスタムまたは規制のセキュリティ ベースラインを実装します。

オーケストレーション

クラウド オーケストレーションはさらに一歩進みます。自動化を特定の材料として定義し、ビジネス プロセスをそれらの材料を組み合わせるレシピとして定義できます。

オーケストレーションにより、クラウド リソースとそのソフトウェア コンポーネントを全体として管理し、テンプレートを通じて自動化された繰り返し可能な方法で展開できるようになります。

セキュリティのオーケストレーションの最大の利点は標準化です。導入されたシステムがセキュリティとコンプライアンスの標準を満たしていることを保証しながら、クラウドの柔軟性を提供できます。

アクセス制御

ハイブリッド クラウドもアクセス制御に依存します。ユーザー アカウントを必要な権限のみに制限し、2 要素認証を要求することを検討してください。仮想プライベート ネットワーク (VPN) に接続しているユーザーへのアクセスを制限すると、セキュリティ標準を維持するのにも役立ちます。

エンドポイントセキュリティ

エンドポイント セキュリティとは通常、ユーザーのスマートフォン、タブレット、またはコンピューターが紛失、盗難、またはハッキングされた場合に、ソフトウェアを使用してリモートでアクセスを取り消したり、機密データを消去したりすることを意味します。

ユーザーは個人のデバイスを使用してどこからでもハイブリッド クラウドに接続できるため、エンドポイント セキュリティは重要な制御となります。攻撃者は、個々のユーザーを標的とするフィッシング攻撃や個人のデバイスを侵害するマルウェアを使用して、システムを標的にする可能性があります。

ここでは技術的制御としてリストしていますが、エンドポイント セキュリティは、物理的、技術的、および管理的制御を組み合わせたもので、物理デバイスを安全に保ち、技術的制御を使用してデバイスが悪意のある人物の手に渡るリスクを制限し、適切なセキュリティ プラクティスについてユーザーをトレーニングします。

ハイブリッドクラウドセキュリティの管理制御

最後に、人的要因に対処するために、ハイブリッド クラウドに高度なセキュリティ管理制御を実装します。ハイブリッド クラウド環境は高度に接続されているため、セキュリティはすべてのユーザーの責任となります。

災害への備えと復旧は、経営管理の一例です。ハイブリッド クラウドの一部がシャットダウンした場合、誰がどのようなアクションに対して責任を負うのでしょうか?データ復旧のためのプロトコルはありますか?

ハイブリッド アーキテクチャは、セキュリティ管理に大きな利点をもたらします。リソースはオンサイトとオフサイトのハードウェア間で分散される可能性が高いため、バックアップと冗長性のオプションがあります。パブリック クラウドとプライベート クラウドを組み合わせたハイブリッド クラウドでは、プライベート データ センター クラウド上のシステムに障害が発生した場合、パブリック クラウドにフェールオーバーできます。

セキュリティは一度に実現するものではない

IT セキュリティには時間がかかり、反復が必要です。安全保障状況は常に変化しています。完璧な安全状態（存在しない）を達成しようと自分自身にプレッシャーをかけるのではなく、一歩ずつ進み、以前よりも今日の方が安全になるように、合理的でよく考えられた行動をとってください。