物理、技術、管理の3つの側面から見たハイブリッドクラウドセキュリティに関する予備調査

物理、技術、管理の3つの側面から見たハイブリッドクラウドセキュリティに関する予備調査

[51CTO.com クイック翻訳] ハイブリッド クラウド セキュリティの主な目的は、クラウド IT アーキテクチャに関連するデータ、アプリケーション、インフラストラクチャのセキュリティ保護を実装することです。このアーキテクチャは、一定数のワークロードを移植性とオーケストレーション管理機能と統合する多層 IT 環境 (少なくとも 1 つのパブリック クラウドまたはプライベート クラウドを含む) です。

ハイブリッド クラウドは、データの潜在的な露出を減らす機会を提供します。機密データや重要なデータをパブリック クラウドの外部に保管できます。つまり、データ漏洩のリスクを軽減するだけでなく、クラウド技術の利点を最大限に活用することができます。

セキュリティ強化のためにハイブリッド クラウドを選択する理由

ハイブリッド クラウドにより、企業はコンプライアンス、監査、ポリシー、セキュリティ要件に基づいて、実際のワークロードとそのデータを比較的安全な論理システムに配置することを選択できます。

ハイブリッド クラウドを構成する環境はそれぞれ異なり、比較的独立していますが、リソースとワークロードの転送に役立つコンテナーや、暗号化されたアプリケーション プログラミング インターフェイス (API) を通じて、環境間の移行を実現できます。この独立しながらも相互接続されたアーキテクチャにより、企業は重要なワークロードをプライベート クラウドで実行し、機密性の低いワークロードをパブリック クラウドで実行できるようになります。このような構成により、データ漏洩を最小限に抑え、企業がIT製品の組み合わせを柔軟にカスタマイズできるようになると言えます。

ハイブリッド クラウド セキュリティはどのような課題に直面していますか?

データを保護する

暗号化により組織データの漏洩を制限します。同じデータが異なる期間に送信中または保存中である可能性があるため、これら 2 つの状態でデータ漏洩を防ぐためにさまざまなセキュリティ メカニズムを使用する必要があります。

コンプライアンスとガバナンス

医療、金融、政府などの規制の厳しい分野で働いている場合は、ハイブリッド クラウド アーキテクチャに関して追加の懸念があるかもしれません。たとえば、分散環境を検査して規制要件を満たしているかどうかを確認する方法を知っておく必要があります。カスタムまたは規制のセキュリティ ベースラインを実装する方法。セキュリティ監査の準備方法について説明します。

サプライチェーンのセキュリティ

ハイブリッド クラウド環境には、複雑なエコシステム内に複数のベンダーの製品やソフトウェアが含まれることがよくあります。したがって、クラウド サービス プロバイダーがソフトウェアと製品をどのようにテストし、管理しているかを理解する必要があります。同時に、クラウド サービス プロバイダーがソース コードをいつ、どのようにチェックするか、どのような実装ガイドラインと方法に従うか、更新とパッチをいつ、どのように提供するかについても理解する必要があります。

ハイブリッドクラウドセキュリティのコンポーネント

オンプレミス データ センターのセキュリティと同様に、ハイブリッド クラウド セキュリティは通常、物理的、技術的、管理的の 3 つのコンポーネントで構成されます。

  • 物理的な制御は、実際のハードウェアを保護するために使用され、一般的なロック、ガード、セキュリティ カメラなどが含まれます。
  • 技術的制御には、暗号化と復号化、Web 認証、管理ソフトウェアなど、IT システム自体の設計に関わる保護対策が含まれます。ハイブリッド クラウドの強力なセキュリティ ツールのほとんどは技術的な制御です。
  • 管理制御は、セキュリティを強化しながら、トレーニングや災害復旧計画などの日常的なタスクを実行できるように設計されたプロセスです。

ハイブリッドクラウドセキュリティの物理的制御

ハイブリッド クラウドは複数の地理的場所にまたがる可能性があるため、物理的なセキュリティは特別な課題となります。これまでのように、すべてのホストの周囲に物理的な制御境界を作成し、ロックを設定して、それで終わりにすることはできません。

パブリック クラウドなどの共有リソースの場合、クラウド サービス プロバイダーとサービス レベル契約 (SLA) を締結して、満たす必要のある物理的なセキュリティ標準を定義できます。たとえば、一部のパブリック クラウド サービス プロバイダーは、政府系の顧客と契約を結び、指定された物理ハードウェアへのアクセスを特定の担当者に制限することができます。

ただし、優れた SLA があっても、パブリック クラウド プロバイダーのサービスによって制御がある程度低下するため、他の領域でのセキュリティ制御を強化する必要があります。

ハイブリッドクラウドセキュリティの技術的制御

技術的な制御はハイブリッド クラウド セキュリティの中核です。ハイブリッド クラウドは集中管理されているため、技術的な制御の実装が容易になります。現在、従来のハイブリッド クラウド テクノロジの制御方法には、暗号化、自動化、セキュリティ オーケストレーション、アクセス制御、エンドポイント セキュリティなどがあります。

暗号化

物理的な脅威によりサービス システムがデータ漏洩に対して脆弱なシナリオでは、暗号化テクノロジによってそのようなリスクを大幅に軽減できます。保存中のデータと移動中のデータの両方を暗号化できます。で:

保存データを保護する暗号化には次のものが含まれます。

  • フルディスク(パーティション)暗号化により、コンピュータのシャットダウン時にハードディスク上のデータを保護できます。ここでは、Linux Unified Key Setup-on-disk (LUSK) 形式を採用できます (を参照)。このフォーマットでは、ハードドライブ上の個々のパーティションを一括で暗号化できます。
  • ハードウェア レベルの暗号化により、ハード ドライブは不正な接続 (つまり、取り外されて他のハードウェア システムに接続されること) やアクセスから保護されます。ここでは、Trusted Platform Module (TPM、を参照) を使用できます。これは暗号化キーを保存できるハードウェア チップです。 TPM を有効にすると、ユーザーが認証してログインするまでハード ドライブはロックされたままになります。
  • 手動でパスワードを入力せずにルート ボリュームを暗号化します。高度に自動化されたクラウド環境を構築した場合は、その上で暗号化を自動化します。 Linux を使用している場合は、物理マシンと仮想マシンの両方で Network Bound Disk Encryption (NBDE) を使用してみてください。注: TPM を NBDE に組み込むこともできます。これにより、NBDE でクラウド ネットワーク環境を保護し、TPM でローカル環境を保護して、二重のセキュリティを実現できます。

移動中のデータを保護する暗号化には次のものが含まれます。

  • ネットワーク セッションを暗号化します。データは、保存されているときよりも、転送中に傍受され、変更されるリスクがはるかに高くなります。ここでは、IPsec (を参照) を使用してこれをサポートできます。これは、伝送チャネルを暗号化できる暗号化技術を使用する拡張 IP プロトコルです。
  • 成熟した安全基準を満たした製品を選択してください。ここでは、連邦情報処理標準 (FIPS) バージョン 140-2 を参照できます。これは、NIST が発行する暗号モジュールのセキュリティ要件であり、米国政府機関に暗号モジュールの評価、検証、および最終認証の基礎を提供し、さまざまな高リスク データの保護を可能にします。具体的な内容については、 をご覧ください。

オートメーション

セキュリティとコンプライアンスを手動で監視する場合、リスクがメリットを上回ることが多いことは周知の事実です。手動のパッチおよび構成管理には、非同期実装のリスクも伴います。実際の運用では、人為的な過失によってセキュリティ インシデントが発生すると、手動プロセス中にパッチや構成の関連記録が失われる可能性があるため、チーム メンバー間で相互の非難や告発につながる可能性があります。さらに、手動による識別および監視プロセスでは、担当者に多くの時間がかかることがよくあります。

対照的に、自動化により、運用チームはルールを迅速に設定し、実装プロセスを共有および検証できるだけでなく、セキュリティ監査も効率化されます。ハイブリッド クラウド環境を評価するときは、次の領域でのプロセスの自動化を検討してください。

  • 動作環境を監視します。
  • 現在のコンプライアンスを確認します。
  • パッチ管理を実装します。
  • カスタムまたは管理されたセキュリティ ベースラインを実装します。

セキュリティオーケストレーション

クラウド セキュリティ オーケストレーションは、自動化のさらなる前進です。自動化は特定の目的のための機能コンポーネントと考えることができます。セキュリティ オーケストレーションは、これらのコンポーネントをビジネス プロセスを通じて統合することで「インテリジェントな判断」を自動化することです。

セキュリティ オーケストレーションを使用すると、クラウド リソースとそのソフトウェア コンポーネント全体を管理し、テンプレートを使用して展開管理をより自動化し、再利用可能にすることができます。

セキュリティ オーケストレーションがハイブリッド クラウドにもたらすもう 1 つの利点は標準化です。クラウドの柔軟性を活用しながら、導入するシステムがセキュリティと規制の基準を満たしていることを保証できます。

アクセス制御

ハイブリッド クラウドのセキュリティもアクセス制御と切り離せません。設定により、2 要素認証を有効にするだけでなく、ユーザー アカウントを必要な最小限の権限に制限することもできます。さらに、きめ細かいアクセス制御により、ユーザーが VPN 経由でクラウド システムに接続することを制限し、関連するセッションの有効期間と特定のアクセス ルールを標準化することもできます。

エンドポイントセキュリティ

エンドポイント セキュリティとは、主に、ユーザーのスマートフォン、タブレット コンピューター、またはモバイル コンピューターが紛失した場合に、運用および保守担当者が関連ソフトウェアを使用してリモートで元のアクセス権を取り消したり、機密データを消去したりして、ハッカーによる侵入や盗難を防ぐことを意味します。

明らかに、ハイブリッド クラウドの大きな利点は、ユーザーが個人のデバイスを使用してどこからでもシステムに接続できることです。同時に、攻撃者はフィッシングを使用して個々のユーザーのデバイスにマルウェアをインストールし、クラウド システムやデータ リソースを攻撃する可能性もあります。エンドポイント セキュリティも不可欠な制御面であることがわかります。

実際、エンドポイント セキュリティは単なる技術的な制御ではなく、デバイスの物理的な接続とハードウェア構成を安全に保つこと、必要なウイルス対策プログラムとマルウェア対策プログラムをインストールすること、ユーザーに適切な使用習慣と緊急対応能力を身につけてもらうためのトレーニングなど、物理的側面と管理的側面の包括的な管理と制御も含まれます。

ハイブリッドクラウドセキュリティの管理制御

ハイブリッドクラウド環境は、ユーザーにさらに堅牢な高可用性をもたらし、より多くの人々がいつでもどこでもクラウドサービスにアクセスできるようになるため、潜在的な人的要因に対処するために、管理制御を通じて各ユーザーの行動と責任を明確にし、規制する必要があります。

管理制御のもう 1 つの側面として、ハイブリッド クラウド サービスの一部が停止したり、地域のサービスにアクセスできなくなったりした場合に備えて、災害復旧計画 (DRP) が用意されているかどうかを検討する必要があります。これらには、データ復旧契約が締結されているかどうか、切り替えの責任者は誰か、効果検証の責任者は誰か、ユーザーへの通知の責任者は誰かなどが含まれます。

もちろん、ハイブリッド クラウド アーキテクチャは、本質的にセキュリティ管理に多くの利便性を提供します。ローカルおよびクラウドでリソースを構成して、それらの間のバックアップと冗長性を実現できます。その後、緊急時には、構成を変更して、プライベート クラウドまたはローカルのデータとサービスを対応するパブリック クラウドにスムーズかつ一時的に移行できます。

安全は一夜にして得られるものではない

過去のローカルセキュリティであれ、今日のハイブリッドクラウドセキュリティであれ、その状況は環境の変化に応じて変化し続けます。私たちは、前述の物理、技術、管理の3つの側面を通じて、業界のセキュリティ概念と実践の反復的な発展に常に注意を払い、絶えず「アップグレードしてモンスターと戦う」必要があります。

原題: ハイブリッド クラウド セキュリティ、著者: Aditya Bhuyan

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<:  2020年の中国クラウドコンピューティング市場のトップ10予測:パンデミックによりリモートワーク、医療、教育の発展が加速

>>:  インターネットデータセンターからの予測:5年後にはクラウドコンピューティングが企業の業務を完全に覆すだろう

推薦する

siberdc: 月額 3 ドル、トルコ VPS (トラフィック無制限)、1G メモリ/2 コア/30g SSD/1Gbps 帯域幅

トルコの商人であるsiberdcは2011年に設立されました。主にトルコの高防御事業を運営しており、...

ウェブサイトのスナップショットが更新されない場合はどうすればいいですか?

みなさんこんにちは。私はハルビン仮想および現実ウェブサイトデザインです。最近、ウェブサイトのスナップ...

bitaccel-7 USD/512 MB RAM/500 GB HDD/無制限 VPS/1000 MB ポート

多くの人は、データのバックアップなどのために、大容量のハードドライブを備えた VPS を見つけたいと...

ジャック・マーはモバイルeコマースのチャンスを掴んだ。B2Bの春が来るのか?

今年2月、ジャック・マーは社内メールで、2014年にクラウドツーエンド戦略が全面的に実施され、モバイ...

すべての IT リーダーが答えなければならないクラウド戦略に関する 9 つの質問

今の問題は、企業がクラウドに移行しているかどうかではなく、どれだけうまく移行しているかということです...

予測不可能な検索エンジンに対応する方法

今のSEOに携わる人たちは、とても惨めな人たちであることは明らかです。彼らは毎日、上司からの問い合わ...

インベントリ: 2022 年に注目すべきエッジ コンピューティング オープンソース プロジェクト トップ 10

IDC の最新の「グローバル エッジ コンピューティング支出レポート」によると、エッジ コンピューテ...

企業ウェブサイトはウェブサイトの重量をどのように増やすべきか(パート 2)

しばらくa5に記事を投稿していませんでしたが、主な理由は、前回の記事「私のSEOの旅、企業ウェブサイ...

検索エンジン スパイダーのクロールのルールを調べる: 外部リンクはタイムリーですか?

「検索エンジン スパイダーのクロール ルールの調査: スパイダーがリンクをクロールする方法」を書き終...

moecloud: サンノゼ cn2 gia vps、20% 割引、47 元/月、512M メモリ/1 コア/10g SSD/450g トラフィック

moecloudは、米国西海岸のサンノゼデータセンターでcn2 giaシリーズVPSを開始しました。...

新疆のウェブマスターの皆様へ:9月15日には6,000以上のウェブサイトが登録抹消される予定です

以前、A5は、関連する専門資格が必要であるため、新疆のウェブマスターの登録が拒否されたと報じた。ウェ...

ウェブサイトの 404 ページ リターン コード エラーによりウェブサイトが K 化されたケース分析

私のウェブサイトは、8月のKステーション事件を無事に乗り越えましたが、残念ながら今月攻撃を受け、つい...

クラウドコンピューティング仮想化の典型的な構造とアクセスアプリケーションモード

クラウド コンピューティングでは、コンピューティング リソース、ストレージ リソース、ネットワーク通...

KPCB: 世界のインターネット利用者は23億人に達し、前年比8%増

テンセントテクノロジーニュース(小燕)北京時間5月31日、海外メディアの報道によると、KPCB(Kl...

Pacificrack: 米国のクラスター VPS、月額 25 ドル、8G メモリ/4 コア/120g SSD/5T トラフィック/29 IP、ランダムに異なるセグメントに分割

Pacificrack では現在、ロサンゼルス データ センターのハイブリッド サーバー専用に使用さ...