ハイブリッド クラウドへの移行が設計上安全であることをどのように保証できますか?

多くの組織は、クラウド コンピューティングの最初の経験が非常に良好であるため、プライベート クラウドとパブリック クラウド間でデータとワークロードを共有するハイブリッド クラウド環境にすぐに移行したいと考えています。ハイブリッド クラウドが提供する柔軟性と制御性により、ハイブリッド クラウドは近い将来に主流のクラウド コンピューティング モデルになると予想されています。

[[261130]]

しかし、ハイブリッド クラウドを構築する場合、企業はセキュリティの問題を考慮しないことがよくあります。この環境では、従来のインフラストラクチャには存在しない独自のセキュリティ上の考慮事項が導入されていることに気付いた場合、不愉快な驚きにつながる可能性があります。そのため、ハイブリッド クラウドは設計段階からセキュリティを確保する必要があります。

クラウドセキュリティは共同責任である

パブリック クラウド プロバイダーはエンタープライズ グレードのセキュリティを提供しますが、これによって顧客がデータの保護、アクセス制御の実装、ユーザー教育の責任を免除されるわけではありません。プライベート クラウドにはさまざまな形式があるため、プライベート クラウドのセキュリティは複雑です。これらは完全にオンサイトに配置することも、完全にパブリック クラウドでホストすることも、あるいはその両方を組み合わせることもできます。プライベート クラウド インフラストラクチャは、単一のテナント専用にすることも、専用リソースを使用して複数のリージョンで共有することもできます。環境ごとにセキュリティ要件は異なります。

クラウド コンピューティングの規模と動的な性質により、可視性と制御が複雑になります。多くの顧客は、クラウドプロバイダーがセキュリティの責任を負っていると誤解しています。現実には、安全は共同責任です。私の経験では、クラウド セキュリティの失敗のほとんどは、顧客が義務を果たせなかったために発生します。

すべての機能を実行できる単一のクラウド セキュリティ メカニズムは存在しません。理想的なクラウド セキュリティ環境がどのようなものであるべきかについても、ほとんど合意が得られていません。したがって、この市場のほとんどの製品はまだ進化を続けています。設計によるセキュリティは、リスクの評価と技術的フレームワークの構築から始まります。

新しい計算方法

クラウドへの移行は制御を完全に放棄することを意味するわけではありませんが、基盤となるプラットフォームではなく、ID、データ、ワークロードに基づいた新しいセキュリティの考え方を採用する必要があります。デバイスの保護ではなく、ビジネスの実現を中心に据えて自らを再配置できるセキュリティ専門家は、パブリック クラウドの保護に特に適しています。

クラウド コンピューティングは高度に分散され、動的であり、ワークロードは絶えず増加と減少を繰り返します。可視性はセキュリティにとって重要です。ガートナーは、クラウド セキュリティでは、従来 IT 分野には属さない 3 つの主要な問題、つまりマルチテナント リスク、仮想化セキュリティ、SaaS 制御に対処する必要があると考えています。

複数の仮想マシン (VM) が同じ物理スペースを共有するため、マルチテナント リスクはクラウド アーキテクチャに内在します。大手パブリック クラウド プロバイダーは、あるテナントが別の VM のデータにアクセスする可能性を減らすために多大な努力を払っていますが、サーバーが正しく構成されていない場合、オンプレミスのインフラストラクチャは脆弱になります。あるハイブリッド クラウド環境に加えられた変更が、別のハイブリッド クラウド環境に意図せず影響を与える可能性もあります。

仮想化セキュリティとは、仮想化環境に固有のリスクを指します。ハイパーバイザーと VM は、オペレーティング システムがハードウェアから分離されているため、多くの点でベアメタル環境よりも安全ですが、ストレージやネットワークなどの共有リソースを使用すると、専用サーバーには存在しない潜在的な脆弱性も生じます。

SaaS 環境では、ユーザーがネットワークを所有していないため、認証とアクセス制御にさらに注意を払う必要があります。ユーザーがデータに対して適切な予防措置を講じ、必要なすべての規制とコンプライアンス ガイドラインに準拠していることを保証するために、ガバナンス標準を整備する必要があります。

これらの新しい機能がなければ、組織はハイブリッド クラウド環境を可視化することが難しくなり、どのコンピューティング タスクとストレージ タスクがどこに、どのデータを使用して、どの方向に実行されているかを判断することがほぼ不可能になります。このような状況では、戦略の提供と実施がすぐに非現実的になる可能性があります。ただし、組織が新しいクラウドネイティブ ツールを使用して設計時のセキュリティの原則を実践すれば、アクティビティを単一のペインで表示してポリシーの適用が可能になります。

安全なハイブリッドクラウド導入の3つの鍵

暗号化、エンドポイント セキュリティ、アクセス制御の 3 つの領域には特に注意が必要です。

暗号化はデータ保護の最良の方法です。パブリック クラウドに出入りするデータはすべての段階で暗号化する必要があり、機密データは暗号化されていないままにしてはなりません。すべてのクラウド プロバイダーは暗号化をサポートしていますが、必ずしもデフォルトでサポートされているわけではありません。お客様は、最も適切で安全な暗号化キーの種類を選択する必要があります。

パブリック インターネット経由でパブリック クラウド サービスにアクセスする場合は、攻撃者のアクセス ポイントが作成されたり、マルウェアの標的になったりしないように、エンドポイント セキュリティに特別な注意を払う必要があります。たとえば、攻撃者が PC を侵害し、会社のパブリック クラウドに管理者としてログインした場合、攻撃者は王国への鍵を握っており、ハードウェア ファイアウォールだけでは十分な保護にはなりません。

セキュア Web ゲートウェイ (SWG) は、URL フィルタリング、高度な脅威防御 (ATD)、マルウェア検出を活用して組織を保護し、インターネット ポリシーのコンプライアンスを強化します。 SWG は、物理および仮想オンプレミス アプライアンス、クラウドベースのサービス、またはハイブリッド クラウド/オンプレミス ソリューションとして提供されます。ランサムウェアなどの破壊的な攻撃に対する追加の保護層を提供し、クラウドベースのサービスをより安全かつ効率的に導入できるようにします。

最後に、従業員、請負業者、ベンダーがパブリック クラウドとプライベート クラウドの両方を使用する場合は、クラウド固有のアクセス制御が必要になります。シングル サインオン (SSO) とフェデレーション アクセス制御により、制御とセキュリティの可視性を維持しながら不便を最小限に抑えることができます。

ID およびアクセス管理サービス (IDaaS) は、マルチテナント環境と専用環境の両方で機能します。組織のクラウド環境全体にわたって、アイデンティティ ガバナンスと管理、アクセス管理、分析機能を提供します。 IDaaS は既存のアクセス管理ソフトウェアと統合して、レガシー アプリケーションへのアクセスを管理することもできます。

Cloud Security Alliance には、ハイブリッド クラウド セキュリティの実践を網羅した広範なリソース ライブラリがあります。組織は、移行プロセスを開始する前に、これらのガイドラインをよく理解しておく必要があります。ハイブリッド インフラストラクチャに最初からセキュリティを組み込むことで、後からバックフィルを行う際の手間と遅延を最小限に抑えることができます。