よくあるクラウド構成の5つの間違い

よくあるクラウド構成の5つの間違い

クラウド内のデータ セキュリティを確保することは、企業とクラウド コンピューティング プロバイダーの共通の責任です。クラウド コンピューティングのセキュリティ対策は、クラウド コンピューティングの顧客が講じなければならない対策です。

クラウド コンピューティングによってセキュリティのいくつかの側面が改善されることは間違いありません。結局のところ、クラウド コンピューティングは大きな規模の経済性を提供し、大多数の組織にとって実現不可能な専用のセキュリティ チームとテクノロジを顧客に提供します。悪いニュースは、顧客がクラウド コンピューティング環境でワークロードとストレージ バケットを適切に構成および保護していない場合です。

[[279163]]

最近の Capital One のデータ侵害を例に挙げましょう。ハッカーが誤って設定されたクラウド ファイアウォールを悪用し、1 億人のクレジットカード顧客と申請者のデータにアクセスしたという、史上最大の侵害です。 Capital One のようなクラウドの誤った構成は何千件も存在します。ただし、多くのことと同様に、ほとんどの構成ミスエラーはいくつかのカテゴリに分類できます。ここでは、クラウド コンピューティングの構成エラーが発生する最も一般的な 5 つの領域を示します。

エラー 1: ストレージ アクセス

ストレージ バケットに関しては、多くのクラウド ユーザーは、「認証済みユーザー」とは、組織内または関連アプリケーション内で認証されたユーザーのみを指すものと想定しています。残念ながら、そうではありません。 「認証済みユーザー」とは、AWS 認証を持つユーザーであり、実質的にはすべての AWS 顧客を指します。この誤解とそれに伴う制御設定の誤った構成により、ストレージ オブジェクトが完全にパブリック アクセスに公開されてしまう可能性があります。ストレージ オブジェクトへのアクセス権限を設定するときは、組織内でアクセスを必要とするユーザーだけがアクセスできるように特別な注意を払う必要があります。

間違い2:「秘密」を管理する

この構成エラーは、組織にとって特に大きな損害を与える可能性があります。パスワード、API キー、管理者資格情報、暗号化キーなどの秘密を保護することは非常に重要です。これらは、誤って構成されたクラウド ストレージ バケット、侵害されたサーバー、公開されている GitHub リポジトリ、さらには HTML コードで公開されていることが確認されています。これは家の鍵を玄関に置いたままにしておくのと同じです。

解決策は、企業がクラウドで使用するすべての秘密のインベントリを維持し、各秘密がどのように保護されているかを定期的に確認することです。そうしないと、悪意のある人物が企業のすべてのデータに簡単にアクセスできるようになります。さらに悪いことに、クラウド リソースを制御し、修復不可能な損害を引き起こす可能性があります。秘密管理システムを活用することも重要です。 AWS Secrets Manager、AWS Parameter Store、Azure Key Vault、Hashicorp Vault などのサービスは、堅牢でスケーラブルなシークレット管理ツールの例です。

間違い3: ログと監視を無効にする

多くの場合非常に複雑になる可能性があるパブリック クラウドによって提供されるログとテレメトリ データを有効化、構成、または確認すら行っていない組織がいかに多いかは驚くべきことです。エンタープライズ クラウド チームの誰かが、このデータを定期的に確認し、セキュリティ関連のイベントにフラグを立てる責任を負う必要があります。

このアドバイスは、インフラストラクチャをサービスとして提供するパブリック クラウドに限定されません。 Storage-as-a-Service プロバイダーは通常、同様の情報を提供しますが、これも定期的に確認する必要があります。アップデートのお知らせやメンテナンスの警告は、ビジネスに重大なセキュリティ上の影響を及ぼす可能性がありますが、誰も注意を払わなければビジネスに何の役にも立ちません。

間違い4: ホスト、コンテナ、VMへの過剰なアクセス

データセンター内の物理サーバーまたは仮想サーバーを、フィルターやファイアウォールを使用して保護せずにインターネットに直接接続していますか?もちろん違います。しかし、ほとんどの場合、人々はこれを完全にクラウド内で行います。最近人々が目にした例には次のようなものがあります。

  • パブリックインターネットに公開されている Kubernetes クラスターの ETCD (ポート 2379)
  • 従来のポートとプロトコル(クラウドホストで有効化された FTP など)
  • 仮想化されクラウドに移行された物理サーバー内の rsh、rexec、telnet などのレガシー ポートとプロトコル。

オンプレミスのデータセンターの場合と同様に、クラウドでも重要なポートを保護し、古くて安全でないプロトコルを無効にする (または少なくともロックダウンする) ようにしてください。

間違い5: 検証の欠如

クラウド コンピューティングにおける最大の間違いは、メタ問題です。誤った構成が発生したときにそれを特定するシステムを作成および実装していない組織がよく見られます。内部リソースと外部監査人の両方が、サービスと権限が正しく構成され、適用されていることを定期的に検証する責任があります。状況が変われば間違いは避けられないので、これが確実に正確に行われるようにスケジュールを設定してください。企業は、クラウド構成を定期的に監査するための厳格なプロセスを確立する必要もあります。そうしないと、悪意のある人物が悪用するセキュリティ上の脆弱性が生じるリスクがあります。

クラウド コンピューティングは、クラウド コンピューティングの顧客が二重責任モデルに忠実である場合にのみ、データとワークロードの安全な場所になる可能性があります。これらのよくある間違いを念頭に置き、できるだけ早くそれらを検出するシステムを構築することで、クラウド内のデジタル資産の安全を確保できます。

<<:  企業がハイブリッド クラウド認定を取得する必要がある理由と取得方法を教えてください。

>>:  クラウド移行チェックリストに必須の 7 つのステップ

推薦する

Eコマースゲームの設計と計画手法(パート2)

コンテンツベースの電子商取引の時代が静かに到来し、電子商取引ゲームが徐々に私たちの視界に入ってきまし...

海外ウェブサイトのおすすめ:Broadcastr ユーザーストーリーテリングウェブサイト

Broadcastr の Web サイトでは、ユーザーが自分の体験を語り、思い出に残る場所を共有でき...

低価格プロモーションは、あなたや私の業界に活力をもたらすことができますか?

昨日、友達と車に乗っていたとき、彼は新しい携帯を買いたいが、8.5~8.7まで待たなければならないと...

皆さんは柔らかいものが良いと言いますか?企業マーケティングソフト記事のカテゴリは何ですか

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスソフト商品は、現在、多く...

Baidu 外部リンクツール体験レビュー

数日前、ザック兄さんがWeiboで、Baiduの公式外部リンクツールがもうすぐリリースされると言って...

アニメサイト運営時に避けるべき4つのこと

アニメサイトは人気になる方向に発展しています。インターネット上のアニメサイトは、多くの子供やオタクな...

ウェブサイトのセキュリティと安定性を確保し、最適化を安心して行えるようにします。

ウェブサイトのセキュリティと安定性は、最適化担当者が注意を払う必要がある問題です。この 2 つの側面...

エッジコンピューティングと5G: 低遅延、高速接続を実現

デジタル時代の継続的な進化に伴い、特にモノのインターネット、仮想現実、スマートファクトリーなど、高速...

プライベートクラウドには明確な「価値提案」が必要です

現在、貿易摩擦が未解決であるにもかかわらず、大企業はデジタルビジネス変革をサポートするために新しいテ...

sentris-3年間5ドルのVPS価格が急騰していますので、必要な方はお早めにご購入ください!

Sentrisからの最新ニュース:公式の超低価格VPSがまもなく値上げされます。 3月4日までに購入...

SEO最適化に別れを告げ、QQグループを使用してウェブサイトを宣伝しましょう

QQグループはおなじみのチャットツールで、マーケティングにQQグループを使用するケースがよく見られま...

たった1元で数千のクラウドホストが利用可能! 21Vianetのプロモーション活動開始

21Vianet の 1,000 クラウド ホスト特典プロモーションが開始されました。たった1元でク...

imidcロシアデータセンターのCN2ラインの物理サーバー(実際には3ラインリターンCN2)の簡単な評価

Rainbow Network は、ロシアのサーバー、香港のサーバー、台湾のサーバー、日本のサーバー...

NeedAssistant - 5 ドル / kvm / 2g メモリ / 10g SSD / 1000M ポート / 無制限トラフィック

NeedAssistant.comは未知の新しい商人です。現在わかっていることは、そのWHMCSが認...

VMware、Yuan Xin 氏をグローバル副社長兼中華圏社長に任命

2021 年 11 月 15 日 - VMware (NYSE: VMW) は本日、ベッシー・ユアン...