セキュリティを犠牲にすることなくDevOpsをクラウドに移行する方法

企業による DevOps の導入は、開発がこれまで以上に高速化することを意味します。では、特にビジネスをクラウドに移行するときに、すべてが安全であることをどのように確認すればよいのでしょうか?業界の専門家は、セキュリティホールを多く残さずにすべてをスムーズに実行し続ける方法を検討しました。

[[275665]]

今後数年間にビジネスが繁栄するためには、ビジネスはクラウド コンピューティングを基盤とすることになるでしょう。 Amazon Web Services (AWS) が 2002 年にパブリック クラウドを開始して以来、クラウド コンピューティングは企業にとって大きな成長分野となっています。

調査会社ガートナーは、2022年には世界のクラウドコンピューティングサービスの市場規模と成長率がITサービス全体のほぼ3倍になると予測しています。クラウド コンピューティング サービスは間違いなくさまざまな業界の発展に混乱をもたらしており、ますます多くの企業がクラウド ファースト戦略を採用しています。

今日、デジタル変革は企業のビジネス成長を牽引しており、クラウド コンピューティングはこの変革を加速し、プロセスを簡素化し、チーム間のコラボレーションを促進しています。クラウド コンピューティングには、次の機能もあります。

• 高価なハードウェアを、アプリケーションの開発と実行に必要なオンデマンドのコンピューティング能力に置き換え、関連する管理コストと運用コストを削減します。
• 特定のハードウェア構成に縛られることなく、アプリケーションと基盤となるマイクロサービスを迅速に拡張できるようにします。
• 社内 IT インフラストラクチャの信頼性を向上させながら、IT 管理オプションを簡素化します。

それでも、あらゆる革命的な変化と同様に、クラウドへの移行は、ビジネスを安全に遂行する方法に影響を与える変化をもたらします。

クラウドネイティブアーキテクチャの影響と新たなセキュリティ課題を理解する

企業はまず、クラウド コンピューティングが DevOps とセキュリティ環境にどのような影響を与えるかを理解する必要があります。クラウド コンピューティング アーキテクチャがビジネスに及ぼす影響には、新しいアーキテクチャの基礎となるテクノロジの触媒と、ビジネス プロセスの課題がインフラストラクチャ全体にどのように波及するかという、影響が大きく相互に依存する 2 つの傾向があります。

クラウドにおける技術的な課題

クラウド コンピューティングは技術的なゲームチェンジャーです。従来のセキュリティ上の懸念がクラウドで出現する新しいセキュリティ概念に取って代わられるにつれて、トレードオフが必要になります。良い面としては、クラウド コンピューティングによってビジネスの規模が拡大し、運用チームはより多くの専門知識を習得する必要が出てきます。

CTO や CSO とその社内チームがこれまで抱えていた多くの問題を解決します。コンピューティング リソースの物理インフラストラクチャの構築、維持、保護は、もはや開発の成功を測るリトマス試験ではありません。たとえば、クラウドに移行すると、バックアップがオンプレミスかオフプレミスかを心配する必要がなくなります。ただし、クラウド コンピューティングには、コンテナのセキュリティと管理者の IT 専門知識の進化という、いくつかの重大なセキュリティ上の課題があります。

新しい環境では、API への依存度を高める必要があります。しかし、従来のソリューションは API レベルの脆弱性に対処するように設計されておらず、API が進化するにつれてサイバー攻撃はより巧妙化します。企業は、複雑なデータ構造を管理および渡し、アプリケーション ロジックを実行し、コンテナー間のトラフィックを提供して、Web アプリケーションの操作を調整する必要があります。さらに、API には多くの種類があります。ユーザー向け API は、ブラウザに表示される情報を提供します。東西トラフィック API はアプリケーションとマイクロサービスを相互に接続します。サービス API により監視、アラート、アプリケーション管理が可能になります。モバイル バックエンド API により、iPhone などのデバイスが真にスマートになります。また、API を通じてデータ サービスを完全に提供するサードパーティのエコシステムも存在します。たとえば、モバイル アプリや Web サイトは、わずかな料金で API をサブスクライブして、天気や交通情報をアプリに提供できるようになりました。

API は現代のアーキテクチャの基礎であり、最も機密性の高いデータを処理するアプリケーションに浸透しています。ただし、API では異なる言語やプロトコルが使用されるため、監視が困難になります。そのため、内部 API と受信データが慎重に監視およびタグ付けされ、問題が適切に優先順位付けされて解決されるように、API に最適化されたセキュリティを導入することが重要です。

新しいアーキテクチャが直面しているもう一つの大きな課題は、コンテナとマイクロサービスへの依存です。 Kubernetes のようなマイクロサービス管理システムは移行を簡素化します。これらは、Google、Azure、Amazon などのプライベート クラウドおよびパブリック クラウドで利用できます。ただし、これらのシステムには独自のセキュリティ概念があります。たとえば、イングレス コントローラーにソリューションをインストールする場合でも、クラウド コンピューティングのトラフィックと自動スケーリングに対応できることを確認する必要があります。しかし、スピードのために安全性を犠牲にしたい人は誰もいません。

さらに、クラウド コンピューティングの柔軟性により、インフラストラクチャへのアクセスの管理が困難になる可能性があり、クラウド管理レイヤーへのアクセスによって制御が可能になります。アクセス ポイントを保護し、資格情報の共有を制限して、侵害を回避することが重要です。ルート アカウントのアクセス キーを作成するのではなく、堅牢なロールベースのアクセス制御 (RBAC) を実装します。

最後に、導入者はセキュリティ ツールとベスト プラクティスに十分な注意を払っていません。今日では、この新しいコンピューティング領域のセキュリティ確保を複雑にする新興テクノロジーが数多く存在します。急速な導入の問題は、これらの新しいテクノロジー、インフラストラクチャ、および多数のツールとサードパーティが確立されたカリキュラムの一部ではなく、全体像や詳細を理解している人がほとんどいないことです。

クラウドコンピューティングのための新しいDevOps

クラウド コンピューティングは、技術革新に加えて、ビジネス プロセスにおける大きな変化や課題とも密接に関連しています。

クラウド コンピューティングと特定の DevOps プロセスの加速的な進化は関連しています。クラウドのセキュリティを真に解決するには、セキュリティを既存の DevOps ワークフローと統合する方法を検討する必要があります。

開発サイクルが速いということは、生産要件を予測して導入する必要があり、事前のテストが不可能になることを意味します。物理サーバーの展開から基本的な注文まで、調達プロセスのすべてが最新の状態に保たれる必要があります。したがって、DevOps は自然な融合でした。

クラウド コンピューティングの柔軟性により、予測不可能なサーバー負荷やアーキテクチャ、エンド ユーザー、継続的インテグレーション (CI)/継続的デリバリー (CD) からの変数を処理できるようになります。オンプレミスとパブリック クラウド アーキテクチャの必然性なしに、継続的インテグレーション (CI)/継続的デリバリー (CD) のペースを想像するのは困難です。しかし、これらの急速な CI/CD プロセスにより、ビジネスの期待が変化し、市場投入までの競争が激化しています。

開発サイクルの高速化がビジネスに与える技術的な影響は無視できません。企業は、保険会社がデータ保護サイバー保険を提供できることを知り、侵害のリスクとセキュリティ保護の質を定量化するのに役立つ答えを求めています。規制に関する議論は、技術の購入と地理に影響を及ぼすと考えられています。企業がオープンソース コミュニティに数十億ドルの研究開発費を注ぎ込んでいるにもかかわらず、セキュリティの責任と影響については疑問が残ります。

一方、企業チームは、組織内のセキュリティとベストプラクティスを優先する必要があります。 DevOps チームは、DevOps と継続的インテグレーション (CI)/継続的デリバリー (CD) プロセスを安全かつ効果的に管理するために新しいスキル セットを習得する必要があるため、これらの変更に抵抗する可能性があります。ただし、組織全体のセキュリティの健全性は、セキュリティの認識やメンテナンスなどの分野における各自の役割を全員が理解しているかどうかにかかっています。

迅速な継続的インテグレーション (CI)/継続的デリバリー (CD) ワークフローにおけるビジネスとテクノロジーの変革の一貫性に対応するには、セキュリティをクラウドに適応させる必要があります。新しいテクノロジー アーキテクチャの主要領域に導入するだけでなく、新しいビジネス プラクティスと統合する必要もあります。セキュリティは、クラウド コンピューティング自体と同様に、柔軟性、応答性、強力さを備えている必要があります。

クラウド コンピューティングのセキュリティの責任者は誰ですか?

クラウドへの最も明白な移行はアウトソーシングです。企業の物理ハードウェアとデータ インフラストラクチャは、もはやその管轄範囲だけに限定されなくなりました。データが Infrastructure as a Service (IaaS) または Platform as a Service (PaaS) を通過する場合、セキュリティの責任は誰が負うのでしょうか?

企業はクラウド コンピューティング プロバイダーと連携して、両者のセキュリティ責任を分離できます。エンタープライズ チームは、保護する責任があるソリューション全体と、それらのソリューションを保護するためのベスト プラクティスを理解する必要があります。

全体として、クラウド コンピューティングによって提供されるパワーと俊敏性により開発サイクルが高速化され、新たな変更によってセキュリティが侵害されることがなくなります。そのため、開発サイクルにセキュリティ インフラストラクチャとベスト プラクティスを含めることが重要です。

たとえば、企業はどのインフラストラクチャ層の保護に重点を置くべきかわからないため、データ侵害などのインシデントが発生する可能性があります。 Verizon の 2019 年データ侵害調査レポートによると、社内従業員によるミスが全データ侵害の 34% を占めています。これらの違反行為は企業に多大な経済的損失と評判の失墜をもたらし、中小企業は損失に耐えきれず倒産に至っています。

テクノロジー ソリューションは、DevOps ワークフローの緊急性を理解し、セキュリティ テストとソリューションをツールチェーンとワークフローに統合するのにも役立ちます。ただし、これらのツールとソリューションは、最終的には個別のセキュリティ チームではなく、DevOps 内のセキュリティ対策に依存することになります。

クラウドコンピューティングプロバイダーのセキュリティ責任とクライアント責任の分担

パブリック クラウド プロバイダーと連携する主な利点は、プロバイダーがセキュリティとコンプライアンスを非常に重視していることです。クラウド プロバイダーは、オンプレミス環境よりも安全であることを保証するために、クラウド環境のセキュリティ保護に多額の投資を行っています。パブリック クラウド プロバイダーは、サーバーの場所、ハードウェア自体、ホスト オペレーティング システム、および仮想化レイヤーへの物理的なアクセス セキュリティを運用および管理します。つまり、企業のビジネスに役立つインフラストラクチャを提供します。

DevOps チームは、エンタープライズ データ、オペレーティング システム、アプリケーション ロジック、エンドポイントを保護する責任を負います。セキュリティ責任をクラウド プロバイダーと共有すると管理の負担が軽減されますが、継続的なメンテナンスをクラウド プロバイダーだけに任せるのではなく、継続的インテグレーション (CI)/継続的デリバリー (CD) プロセスの一部にすることが重要です。また、オープンソース コンポーネントを使用する開発者は、脆弱性が導入されないようにこれらのリソースを維持する必要があることも言及する価値があります。これは、すべてのオープンソース コンポーネントを識別して追跡するための運用検出を通じて実行できます。

さまざまな組織の特定のニーズに合わせたサービスを提供するために、クラウド コンピューティング プロバイダーは、サービスとしてのソフトウェア (SaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのインフラストラクチャ (IaaS) など、さまざまなクラウド コンピューティング モデルを提供しています。各モデルは、異なるレベルのデジタル ソリューションと対応するセキュリティをカバーしています。

Cloud Standards Customer Council (CSCC) によると、ユーザーが SaaS から PaaS、そして IaaS へと移行するにつれて、責任が増加する傾向があります。

SaaS モデルを使用するチームは、事前に設計されたサービスを使用しており、クラウド プロバイダーがすべての技術的側面を処理するため、セキュリティへの関与は最小限です。つまり、インフラストラクチャ、ソフトウェア スタック、および関連するアプリケーション ロジックのほとんどを管理するためにプロバイダーに依存できるということです。

セキュリティの所有権と責任については、企業チームは優先クラウド サービス プロバイダーのサービス レベル契約を確認する必要があります。チームがセキュリティの責任を明確に理解すれば、各自のコンポーネントの保護に時間を集中でき、残りの作業はクラウド プロバイダーが処理してくれるので安心です。このようなポリシーの良い例は、AWS の責任共有モデルです。 AWS インフラストラクチャ内のデータ、API、ソフトウェアスタックに対する顧客の責任を明確に文書化します。

クラウド移行のセキュリティ ソリューションに何を求めるべきでしょうか?

監視と保護をクラウド コンピューティング プロバイダーに依存することは、企業のセキュリティにとって大きな課題です。 AWS を例に挙げてみましょう。 AWS は初期の IaaS プロバイダーの 1 つとして、ユーザーのための基盤を築き、顧客の教育に多くのリソースを費やしてきました。 AWS はサービスを強化します。彼らは、提供する物理的な施設とテクノロジーの安全性を確保するために、信じられないほどの対策を講じています。そのため、企業は通常、ネットワーク セキュリティ、サーバー、ルーターなどの問題についてあまり心配しません。ただし、AWS は、アプリケーション所有者が責任を負う他のコンポーネントについても十分に理解しています。

AWS がクラウド セキュリティに関する責任共有の立場で説明しているように、システムの管理は AWS の責任です。ただし、アプリケーション内のデータ、ユーザーに関連するセキュリティ、およびアプリケーションが企業に採用される方法は、彼らの管轄外です。これを確実にしようとすると、企業が無理をしたり、進歩を妨げたりする可能性があるという議論さえある。

開発者とプロバイダーがアプリケーションとマイクロサービスを保護すると単純に信頼するだけでは十分ではありません。企業は、最も多くの変更が発生する論理レベルでソフトウェア ソリューションが安全であることを確認する必要があります。企業は以下を検討する必要があります。

• アプリケーションレベルで展開されるツール
• CI/CD で実行されるソリューション
• リソース要件を増やすことなくツールセットとプロセスを統合
• 柔軟な対応を可能にする自動化

これらはすべて、クラウド プラットフォームを安全に管理し、ビジネスを強力かつ柔軟なソリューションに変革するためのものです。

安全な API とマイクロサービスのサポートにより、企業はクラウド コンピューティングを柔軟に拡張できます。企業が既存のテクノロジー スタックを補完するか、次世代のコンテナーとマイクロサービスに完全に移行することを決定するかどうかにかかわらず、この新しい動的インフラストラクチャがどのように、どこで、誰によって管理されるかに多くの焦点が当てられます。ここで、新しいガバナンス プロセスと自動化戦略が必要になります。クラウド コンピューティングの導入は、企業にとってのビジネス変革の 1 つです。

セキュリティは、企業の業務運営の特定の状況に合わせて調整する必要があり、特定の環境でのみ効果を発揮します。これは必ずしも面倒なカスタマイズを意味するわけではありませんが、企業が自社のインフラストラクチャ、ビジネス ロジック、トラフィックに合わせて適応し、動作できるソリューションを必要としていることを意味します。より深いレベルで機械学習を導入すると、ビジネスが独自性を持つようになります。これはそれを実現する 1 つの方法です。

DevOpsとセキュリティチーム間の連携を促進する

技術的な影響に加えて、クラウド コンピューティングでは新たな組織の再編が必要になります。たとえば、企業がクラウド プラットフォームの管理を担当している場合、組織図はどのようになるでしょうか。リスクの責任は誰が負うのでしょうか?最高情報セキュリティ責任者と最高技術責任者の役割はどのように変化するのでしょうか?セキュリティ専門家は企業の組織構造にどのように適合するのでしょうか?

従来、企業の開発、運用、セキュリティの各チームはサイロで作業しています。開発と運用が統合された DevOps プラクティスに統合されるにつれて、DevOps がセキュリティを根本的に弱めるかどうかという疑問が生じます。開発スピードが意思決定の最前線にある DevOps では、特に外部のソフトウェアやプラットフォームを使用する場合、セキュリティは後回しにされることがよくあります。新たな脅威や脆弱性の出現によりセキュリティ環境が急速に変化しているという事実により、この課題はさらに大きくなります。

企業が開発者が一夜にしてセキュリティの専門家になることを期待するのは非現実的です。しかし、今日の企業に求められるスピードと柔軟性に合わせてアプリケーション開発の速度が速まるにつれ、多くの企業が製品にセキュリティを組み込んでいません。

これに対処するには、DevOps チームとセキュリティ チームが連携して、開発ライフサイクルの最初からセキュリティが組み込まれるようにする必要があります。

役割を最適に統合するには、次の重要なベスト プラクティスを考慮する必要があります。

• 品質保証を考慮してください。最も重要なのは、安全性を、高品質製品の実現要因、共通の責任、最優先事項とみなす文化を構築することです。これは、アプリケーションのパフォーマンスとユーザー エクスペリエンスの重要な指標の 1 つとして考慮する必要があります。
• DevOps にセキュリティを統合します。最初から透明性とコラボレーションを確保するために、DevOps プロセスのすべての部分にセキュリティ チームを関与させるか、セキュリティ ロールを指定します。セキュリティ チームは、アプリケーション固有の脆弱性を検出し、安全なコーディング プラクティスを通知する実用的な DevOps 推奨事項を提供できます。
• 開発者をサポートします。ほとんどの開発者は何に注意すべきかについての知識が限られているため、チーム内にセキュリティ マネージャーを任命することをお勧めします。彼らはホワイトハットハッカーほど深い知識を持っていないかもしれませんが、セキュリティの概念を理解し、適切なツールやリソースをどこで探すべきかを熟知するほどセキュリティに携わっています。
• 適切なツールとツールチェーンを入手してください。セキュリティ タスクを管理できる自動化ツールを導入すると、小規模なセキュリティ チームはフレームワークの定義や開発プロセスへの注意の強化など、重要な優先事項に集中できるようになります。クラウド内および継続的インテグレーション (CI)/継続的デリバリー (CD) プロセス中にセキュリティ テストを自動的に生成して実行するツールは、この目標の達成に役立ちます。
• コーディングを強化します。最後に、多くのセキュリティ問題は、最も明らかな間違いから生じます。組織は、クラウドで安全にコーディングできるように開発者をトレーニングし、そのプロセスの一部としてセキュリティ テストを含めることに投資する必要があります。機械学習を通じてコードを監視する高度なセキュリティ ソリューションは、コードの脆弱性を発見し、開発者がコード操作の安定性を高めるのに役立ちます。