物理、技術、管理の3つの側面から見たハイブリッドクラウドセキュリティに関する予備調査

物理、技術、管理の3つの側面から見たハイブリッドクラウドセキュリティに関する予備調査

[51CTO.com クイック翻訳] ハイブリッド クラウド セキュリティの主な目的は、クラウド IT アーキテクチャに関連するデータ、アプリケーション、インフラストラクチャのセキュリティ保護を実装することです。このアーキテクチャは、一定数のワークロードを移植性とオーケストレーション管理機能と統合する多層 IT 環境 (少なくとも 1 つのパブリック クラウドまたはプライベート クラウドを含む) です。

ハイブリッド クラウドは、データの潜在的な露出を減らす機会を提供します。機密データや重要なデータをパブリック クラウドの外部に保管できます。つまり、データ漏洩のリスクを軽減するだけでなく、クラウド技術の利点を最大限に活用することができます。

セキュリティ強化のためにハイブリッド クラウドを選択する理由

ハイブリッド クラウドにより、企業はコンプライアンス、監査、ポリシー、セキュリティ要件に基づいて、実際のワークロードとそのデータを比較的安全な論理システムに配置することを選択できます。

ハイブリッド クラウドを構成する環境はそれぞれ異なり、比較的独立していますが、リソースとワークロードの転送に役立つコンテナーや、暗号化されたアプリケーション プログラミング インターフェイス (API) を通じて、環境間の移行を実現できます。この独立しながらも相互接続されたアーキテクチャにより、企業は重要なワークロードをプライベート クラウドで実行し、機密性の低いワークロードをパブリック クラウドで実行できるようになります。このような構成により、データ漏洩を最小限に抑え、企業がIT製品の組み合わせを柔軟にカスタマイズできるようになると言えます。

ハイブリッド クラウド セキュリティはどのような課題に直面していますか?

データを保護する

暗号化により組織データの漏洩を制限します。同じデータが異なる期間に送信中または保存中である可能性があるため、これら 2 つの状態でデータ漏洩を防ぐためにさまざまなセキュリティ メカニズムを使用する必要があります。

コンプライアンスとガバナンス

医療、金融、政府などの規制の厳しい分野で働いている場合は、ハイブリッド クラウド アーキテクチャに関して追加の懸念があるかもしれません。たとえば、分散環境を検査して規制要件を満たしているかどうかを確認する方法を知っておく必要があります。カスタムまたは規制のセキュリティ ベースラインを実装する方法。セキュリティ監査の準備方法について説明します。

サプライチェーンのセキュリティ

ハイブリッド クラウド環境には、複雑なエコシステム内に複数のベンダーの製品やソフトウェアが含まれることがよくあります。したがって、クラウド サービス プロバイダーがソフトウェアと製品をどのようにテストし、管理しているかを理解する必要があります。同時に、クラウド サービス プロバイダーがソース コードをいつ、どのようにチェックするか、どのような実装ガイドラインと方法に従うか、更新とパッチをいつ、どのように提供するかについても理解する必要があります。

ハイブリッドクラウドセキュリティのコンポーネント

オンプレミス データ センターのセキュリティと同様に、ハイブリッド クラウド セキュリティは通常、物理的、技術的、管理的の 3 つのコンポーネントで構成されます。

  • 物理的な制御は、実際のハードウェアを保護するために使用され、一般的なロック、ガード、セキュリティ カメラなどが含まれます。
  • 技術的制御には、暗号化と復号化、Web 認証、管理ソフトウェアなど、IT システム自体の設計に関わる保護対策が含まれます。ハイブリッド クラウドの強力なセキュリティ ツールのほとんどは技術的な制御です。
  • 管理制御は、セキュリティを強化しながら、トレーニングや災害復旧計画などの日常的なタスクを実行できるように設計されたプロセスです。

ハイブリッドクラウドセキュリティの物理的制御

ハイブリッド クラウドは複数の地理的場所にまたがる可能性があるため、物理的なセキュリティは特別な課題となります。これまでのように、すべてのホストの周囲に物理的な制御境界を作成し、ロックを設定して、それで終わりにすることはできません。

パブリック クラウドなどの共有リソースの場合、クラウド サービス プロバイダーとサービス レベル契約 (SLA) を締結して、満たす必要のある物理的なセキュリティ標準を定義できます。たとえば、一部のパブリック クラウド サービス プロバイダーは、政府系の顧客と契約を結び、指定された物理ハードウェアへのアクセスを特定の担当者に制限することができます。

ただし、優れた SLA があっても、パブリック クラウド プロバイダーのサービスによって制御がある程度低下するため、他の領域でのセキュリティ制御を強化する必要があります。

ハイブリッドクラウドセキュリティの技術的制御

技術的な制御はハイブリッド クラウド セキュリティの中核です。ハイブリッド クラウドは集中管理されているため、技術的な制御の実装が容易になります。現在、従来のハイブリッド クラウド テクノロジの制御方法には、暗号化、自動化、セキュリティ オーケストレーション、アクセス制御、エンドポイント セキュリティなどがあります。

暗号化

物理的な脅威によりサービス システムがデータ漏洩に対して脆弱なシナリオでは、暗号化テクノロジによってそのようなリスクを大幅に軽減できます。保存中のデータと移動中のデータの両方を暗号化できます。で:

保存データを保護する暗号化には次のものが含まれます。

  • フルディスク(パーティション)暗号化により、コンピュータのシャットダウン時にハードディスク上のデータを保護できます。ここでは、Linux Unified Key Setup-on-disk (LUSK) 形式を採用できます (を参照)。このフォーマットでは、ハードドライブ上の個々のパーティションを一括で暗号化できます。
  • ハードウェア レベルの暗号化により、ハード ドライブは不正な接続 (つまり、取り外されて他のハードウェア システムに接続されること) やアクセスから保護されます。ここでは、Trusted Platform Module (TPM、を参照) を使用できます。これは暗号化キーを保存できるハードウェア チップです。 TPM を有効にすると、ユーザーが認証してログインするまでハード ドライブはロックされたままになります。
  • 手動でパスワードを入力せずにルート ボリュームを暗号化します。高度に自動化されたクラウド環境を構築した場合は、その上で暗号化を自動化します。 Linux を使用している場合は、物理マシンと仮想マシンの両方で Network Bound Disk Encryption (NBDE) を使用してみてください。注: TPM を NBDE に組み込むこともできます。これにより、NBDE でクラウド ネットワーク環境を保護し、TPM でローカル環境を保護して、二重のセキュリティを実現できます。

移動中のデータを保護する暗号化には次のものが含まれます。

  • ネットワーク セッションを暗号化します。データは、保存されているときよりも、転送中に傍受され、変更されるリスクがはるかに高くなります。ここでは、IPsec (を参照) を使用してこれをサポートできます。これは、伝送チャネルを暗号化できる暗号化技術を使用する拡張 IP プロトコルです。
  • 成熟した安全基準を満たした製品を選択してください。ここでは、連邦情報処理標準 (FIPS) バージョン 140-2 を参照できます。これは、NIST が発行する暗号モジュールのセキュリティ要件であり、米国政府機関に暗号モジュールの評価、検証、および最終認証の基礎を提供し、さまざまな高リスク データの保護を可能にします。具体的な内容については、 をご覧ください。

オートメーション

セキュリティとコンプライアンスを手動で監視する場合、リスクがメリットを上回ることが多いことは周知の事実です。手動のパッチおよび構成管理には、非同期実装のリスクも伴います。実際の運用では、人為的な過失によってセキュリティ インシデントが発生すると、手動プロセス中にパッチや構成の関連記録が失われる可能性があるため、チーム メンバー間で相互の非難や告発につながる可能性があります。さらに、手動による識別および監視プロセスでは、担当者に多くの時間がかかることがよくあります。

対照的に、自動化により、運用チームはルールを迅速に設定し、実装プロセスを共有および検証できるだけでなく、セキュリティ監査も効率化されます。ハイブリッド クラウド環境を評価するときは、次の領域でのプロセスの自動化を検討してください。

  • 動作環境を監視します。
  • 現在のコンプライアンスを確認します。
  • パッチ管理を実装します。
  • カスタムまたは管理されたセキュリティ ベースラインを実装します。

セキュリティオーケストレーション

クラウド セキュリティ オーケストレーションは、自動化のさらなる前進です。自動化は特定の目的のための機能コンポーネントと考えることができます。セキュリティ オーケストレーションは、これらのコンポーネントをビジネス プロセスを通じて統合することで「インテリジェントな判断」を自動化することです。

セキュリティ オーケストレーションを使用すると、クラウド リソースとそのソフトウェア コンポーネント全体を管理し、テンプレートを使用して展開管理をより自動化し、再利用可能にすることができます。

セキュリティ オーケストレーションがハイブリッド クラウドにもたらすもう 1 つの利点は標準化です。クラウドの柔軟性を活用しながら、導入するシステムがセキュリティと規制の基準を満たしていることを保証できます。

アクセス制御

ハイブリッド クラウドのセキュリティもアクセス制御と切り離せません。設定により、2 要素認証を有効にするだけでなく、ユーザー アカウントを必要な最小限の権限に制限することもできます。さらに、きめ細かいアクセス制御により、ユーザーが VPN 経由でクラウド システムに接続することを制限し、関連するセッションの有効期間と特定のアクセス ルールを標準化することもできます。

エンドポイントセキュリティ

エンドポイント セキュリティとは、主に、ユーザーのスマートフォン、タブレット コンピューター、またはモバイル コンピューターが紛失した場合に、運用および保守担当者が関連ソフトウェアを使用してリモートで元のアクセス権を取り消したり、機密データを消去したりして、ハッカーによる侵入や盗難を防ぐことを意味します。

明らかに、ハイブリッド クラウドの大きな利点は、ユーザーが個人のデバイスを使用してどこからでもシステムに接続できることです。同時に、攻撃者はフィッシングを使用して個々のユーザーのデバイスにマルウェアをインストールし、クラウド システムやデータ リソースを攻撃する可能性もあります。エンドポイント セキュリティも不可欠な制御面であることがわかります。

実際、エンドポイント セキュリティは単なる技術的な制御ではなく、デバイスの物理的な接続とハードウェア構成を安全に保つこと、必要なウイルス対策プログラムとマルウェア対策プログラムをインストールすること、ユーザーに適切な使用習慣と緊急対応能力を身につけてもらうためのトレーニングなど、物理的側面と管理的側面の包括的な管理と制御も含まれます。

ハイブリッドクラウドセキュリティの管理制御

ハイブリッドクラウド環境は、ユーザーにさらに堅牢な高可用性をもたらし、より多くの人々がいつでもどこでもクラウドサービスにアクセスできるようになるため、潜在的な人的要因に対処するために、管理制御を通じて各ユーザーの行動と責任を明確にし、規制する必要があります。

管理制御のもう 1 つの側面として、ハイブリッド クラウド サービスの一部が停止したり、地域のサービスにアクセスできなくなったりした場合に備えて、災害復旧計画 (DRP) が用意されているかどうかを検討する必要があります。これらには、データ復旧契約が締結されているかどうか、切り替えの責任者は誰か、効果検証の責任者は誰か、ユーザーへの通知の責任者は誰かなどが含まれます。

もちろん、ハイブリッド クラウド アーキテクチャは、本質的にセキュリティ管理に多くの利便性を提供します。ローカルおよびクラウドでリソースを構成して、それらの間のバックアップと冗長性を実現できます。その後、緊急時には、構成を変更して、プライベート クラウドまたはローカルのデータとサービスを対応するパブリック クラウドにスムーズかつ一時的に移行できます。

安全は一夜にして得られるものではない

過去のローカルセキュリティであれ、今日のハイブリッドクラウドセキュリティであれ、その状況は環境の変化に応じて変化し続けます。私たちは、前述の物理、技術、管理の3つの側面を通じて、業界のセキュリティ概念と実践の反復的な発展に常に注意を払い、絶えず「アップグレードしてモンスターと戦う」必要があります。

原題: ハイブリッド クラウド セキュリティ、著者: Aditya Bhuyan

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<:  2020年の中国クラウドコンピューティング市場のトップ10予測:パンデミックによりリモートワーク、医療、教育の発展が加速

>>:  インターネットデータセンターからの予測:5年後にはクラウドコンピューティングが企業の業務を完全に覆すだろう

推薦する

マイクロV WeChatマーケティングモバイルウェブサイトの運用:5つの実践的な方法の共有

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています通常、携帯...

新しいウェブサイトを成功させる方法

昨年、百度がスパムサイトを厳しく取り締まり始めて以来、百度が新しいサイトに対して課す基準がどんどん高...

クラウドコンピューティングの6つの関連技術

クラウド コンピューティングは、新しいビジネス配信モデルであると同時に、新しい IT インフラストラ...

ウェブサイトにアンカーテキストリンクを作成する方法

多くの個人ウェブマスターは、記事を書くときに無駄なテキストリンクをたくさん追加して、内部リンクの重み...

Baidu の重量に執着しないでください。Baidu の重量は単なる伝説です。

Googleが中国から撤退して以来、Baiduは業界の支配的な勢力となっています。現在では、Goog...

これが Scala の真髄です。これを受講すれば、面接を恐れることはありません。

[[427956]]この記事はWeChatの公開アカウント「ビッグデータ左右手」から転載したもので、...

インターネット企業はどのようにして安全で信頼性の高いクラウド データ ストレージを構築するのでしょうか?

クラウドコンピューティングは急速な発展段階に入りました。パブリック クラウド テクノロジーとビジネス...

SEO担当者の4つのタブー:本質を理解することが成長の鍵

SEO 初心者でも熟練した SEO 経験者でも、SEO 最適化プロセスで多かれ少なかれ問題に遭遇して...

スパムリンクの識別と処理方法

隠しテキスト、隠しリンク、キーワードスタッキング、隠しページ、JS リダイレクトなどの SEO 不正...

ユーザーが電子商取引のウェブサイトに長く滞在する方が良いのでしょうか?私はそうは思わない。

オリジナル記事、転載する場合は出典を明記してください:eコマースアートを専門とするEコマースサロンか...

最高の検索エンジン最適化テクニックを教えます

誰もが良いハックが大好きですよね?お母さんでも使える SEO のヒント 55 個をご紹介します。ああ...

テンセントWeiboがBaidu Spiderを正式にブロック

今、テレビやインターネットで話題になっている人物がいる。呉静民だ。数日前、Baiduで彼の名前を検索...

Web ページの構造化プロセスは、貴重な情報を保持するプロセスです。

ウェブページ構造化の目的を紹介しました。構造化のプロセスは、ウェブサイトに貴重な情報を保持するプロセ...

垂直コミュニティ起業が起業の次の波である理由

モバイルインターネットは中国に「起業家の黄金時代」をもたらしたと言える。ジャック・マーが企業を訪問し...

店舗のコンバージョン率を向上させるためにタオバオの商品ページを設定する方法

顧客が広告からあなたのストアにアクセスすると、商品ページが表示されます。この時点で、顧客には 2 つ...