よくあるクラウド構成の5つの間違い

クラウド内のデータ セキュリティを確保することは、企業とクラウド コンピューティング プロバイダーの共通の責任です。クラウド コンピューティングのセキュリティ対策は、クラウド コンピューティングの顧客が講じなければならない対策です。

クラウド コンピューティングによってセキュリティのいくつかの側面が改善されることは間違いありません。結局のところ、クラウド コンピューティングは大きな規模の経済性を提供し、大多数の組織にとって実現不可能な専用のセキュリティ チームとテクノロジを顧客に提供します。悪いニュースは、顧客がクラウド コンピューティング環境でワークロードとストレージ バケットを適切に構成および保護していない場合です。

[[279163]]

最近の Capital One のデータ侵害を例に挙げましょう。ハッカーが誤って設定されたクラウド ファイアウォールを悪用し、1 億人のクレジットカード顧客と申請者のデータにアクセスしたという、史上最大の侵害です。 Capital One のようなクラウドの誤った構成は何千件も存在します。ただし、多くのことと同様に、ほとんどの構成ミスエラーはいくつかのカテゴリに分類できます。ここでは、クラウド コンピューティングの構成エラーが発生する最も一般的な 5 つの領域を示します。

エラー 1: ストレージ アクセス

ストレージ バケットに関しては、多くのクラウド ユーザーは、「認証済みユーザー」とは、組織内または関連アプリケーション内で認証されたユーザーのみを指すものと想定しています。残念ながら、そうではありません。 「認証済みユーザー」とは、AWS 認証を持つユーザーであり、実質的にはすべての AWS 顧客を指します。この誤解とそれに伴う制御設定の誤った構成により、ストレージ オブジェクトが完全にパブリック アクセスに公開されてしまう可能性があります。ストレージ オブジェクトへのアクセス権限を設定するときは、組織内でアクセスを必要とするユーザーだけがアクセスできるように特別な注意を払う必要があります。

間違い2：「秘密」を管理する

この構成エラーは、組織にとって特に大きな損害を与える可能性があります。パスワード、API キー、管理者資格情報、暗号化キーなどの秘密を保護することは非常に重要です。これらは、誤って構成されたクラウド ストレージ バケット、侵害されたサーバー、公開されている GitHub リポジトリ、さらには HTML コードで公開されていることが確認されています。これは家の鍵を玄関に置いたままにしておくのと同じです。

解決策は、企業がクラウドで使用するすべての秘密のインベントリを維持し、各秘密がどのように保護されているかを定期的に確認することです。そうしないと、悪意のある人物が企業のすべてのデータに簡単にアクセスできるようになります。さらに悪いことに、クラウド リソースを制御し、修復不可能な損害を引き起こす可能性があります。秘密管理システムを活用することも重要です。 AWS Secrets Manager、AWS Parameter Store、Azure Key Vault、Hashicorp Vault などのサービスは、堅牢でスケーラブルなシークレット管理ツールの例です。

間違い3: ログと監視を無効にする

多くの場合非常に複雑になる可能性があるパブリック クラウドによって提供されるログとテレメトリ データを有効化、構成、または確認すら行っていない組織がいかに多いかは驚くべきことです。エンタープライズ クラウド チームの誰かが、このデータを定期的に確認し、セキュリティ関連のイベントにフラグを立てる責任を負う必要があります。

このアドバイスは、インフラストラクチャをサービスとして提供するパブリック クラウドに限定されません。 Storage-as-a-Service プロバイダーは通常、同様の情報を提供しますが、これも定期的に確認する必要があります。アップデートのお知らせやメンテナンスの警告は、ビジネスに重大なセキュリティ上の影響を及ぼす可能性がありますが、誰も注意を払わなければビジネスに何の役にも立ちません。

間違い4: ホスト、コンテナ、VMへの過剰なアクセス

データセンター内の物理サーバーまたは仮想サーバーを、フィルターやファイアウォールを使用して保護せずにインターネットに直接接続していますか?もちろん違います。しかし、ほとんどの場合、人々はこれを完全にクラウド内で行います。最近人々が目にした例には次のようなものがあります。

• パブリックインターネットに公開されている Kubernetes クラスターの ETCD (ポート 2379)
• 従来のポートとプロトコル（クラウドホストで有効化された FTP など）
• 仮想化されクラウドに移行された物理サーバー内の rsh、rexec、telnet などのレガシー ポートとプロトコル。

オンプレミスのデータセンターの場合と同様に、クラウドでも重要なポートを保護し、古くて安全でないプロトコルを無効にする (または少なくともロックダウンする) ようにしてください。

間違い5: 検証の欠如

クラウド コンピューティングにおける最大の間違いは、メタ問題です。誤った構成が発生したときにそれを特定するシステムを作成および実装していない組織がよく見られます。内部リソースと外部監査人の両方が、サービスと権限が正しく構成され、適用されていることを定期的に検証する責任があります。状況が変われば間違いは避けられないので、これが確実に正確に行われるようにスケジュールを設定してください。企業は、クラウド構成を定期的に監査するための厳格なプロセスを確立する必要もあります。そうしないと、悪意のある人物が悪用するセキュリティ上の脆弱性が生じるリスクがあります。

クラウド コンピューティングは、クラウド コンピューティングの顧客が二重責任モデルに忠実である場合にのみ、データとワークロードの安全な場所になる可能性があります。これらのよくある間違いを念頭に置き、できるだけ早くそれらを検出するシステムを構築することで、クラウド内のデジタル資産の安全を確保できます。