Huayun Data: 企業向けクラウド セキュリティ保護システムの構築方法

クラウドコンピューティング事業の急速な発展に伴い、国内外のクラウドコンピューティング企業間の特許紛争はますます激しくなっています。クラウド コンピューティングなどの技術分野では、特許保有量が企業の技術力を表すことが多いです。今回のHuayun Data「Smart Huayun」コラムでは、「企業向けクラウドコンピューティングのセキュリティ保護システムの構築方法」に焦点を当て、クラウドコンピューティング分野の発展動向を皆様と共有します。

[[258827]]

現在、ネットワークのデジタル化とインテリジェンス化が急速に進展し、ネットワークの脅威は加速度的に浸透しており、ネットワークセキュリティは大きなリスクと課題に直面しています。大量の散在したデータがクラウドに集中しています。このデータに含まれる膨大な情報と潜在的な価値は、より多くの攻撃者を引き付けており、クラウドにおけるセキュリティ保護の需要も日々高まっています。クラウド セキュリティの構築では、テナントのビジネス セキュリティとデータ セキュリティを完全に保証する必要があり、クラウド サービス プロバイダーが継続的な運用セキュリティ サービスを提供できることが求められます。

デジタル時代において、クラウドコンピューティングのリスクの集中により大規模なセキュリティリスクが発生し、ネットワークセキュリティの状況はより深刻になっています。では、企業はどのようにクラウド セキュリティを構築し、成熟したセキュリティ システムを構築すればよいのでしょうか?中国のクラウドコンピューティングとビッグデータのユニコーン企業として、Huayun Data は中国のデジタルネットワークセキュリティシステムの構築を積極的にサポートし、ネットワークセキュリティエコシステムの健全な発展を促進しています。

2019 年 2 月 28 日、Huayun Data Group のプリセールス ソリューション マネージャーである Qu Chongkai 氏が、企業が安全かつ制御可能なクラウドへの移行を開始できるように支援するクラウド セキュリティとコンプライアンスのソリューション、調査、実践について紹介しました。

素晴らしい発言

1. 現在、ネットワークのデジタル化とインテリジェンス化が急速に進展し、ネットワークの脅威はより速く浸透し、ネットワークセキュリティは大きなリスクと課題に直面しています。厳しい業界背景の下、ネットワークセキュリティ技術と実際のアプリケーション、ネットワークセキュリティシステム、エコロジカルな構築は業界から大きな注目を集めています。インターネットは国民経済と社会の発展に関わる重要なインフラであり、世界の経済構造、利益構造、安全保障構造に深い影響を及ぼしています。インターネット プロトコル バージョン 4 (IPv4) をベースとする世界的なインターネットは、ネットワーク アドレスの枯渇やサービス品質の確保の困難さなどの問題に直面しています。次世代のインターネット プロトコル バージョン 6 (IPv6) が誕生しました。

2. 2017年11月26日、「インターネットプロトコルバージョン6（IPv6）の大規模導入を促進するための行動計画」（以下、「行動計画」という）が発行され、さまざまな業界におけるIPv6の移行と移行に関する明確な取り決めと時間要件が提示されました。国の経済運営の重要なサポートとして、金融業界は IPv6 技術のパイロット研究と調査を積極的に実施し、その包括的な展開と実装の基盤を築く必要があります。 2019年1月10日に「インターネット プロトコル バージョン6（IPv6）の大規模導入促進に向けた行動計画」が公表されました。行動計画では、今後5～10年以内に次世代インターネットIPv6セルフサービス産業技術システムと産業エコシステムを実現し、さまざまな経済・社会分野に深く統合・応用することが求められています。金融機関ネットワークでは、まずインターネット環境における IPv6 の大規模導入を完了します。

3. 企業にとって、クラウド セキュリティ構築には主に 3 つの要件があります。 1 つ目は、ビジネス セキュリティの積極的な予防を含むビジネスの牽引力であり、クラウドとハイブリッド クラウド環境が問題が発生する前に防止し、脅威を事前に認識できるかどうかです。ビジネス自体と環境のセキュリティ、ビジネスがクラウドに移行したときにクラウド プラットフォームのセキュリティ、データ セキュリティ、アプリケーション セキュリティをどのように確保するか。ビジネスセキュリティの継続的な監視、クラウド上のビジネスシステムが直面するさまざまなセキュリティ脅威を検出する方法。ビジネス セキュリティの廃棄方法、クラウド環境内の問題を迅速に特定し、損失を阻止し、原因を追跡する方法。 2つ目は、テクノロジー主導のクラウドセキュリティシステムの構築です。クラウド環境では、本来の分離原則は無効になり、本来の信頼できる境界はますます曖昧になり、攻撃対象領域が増加します。ソフトウェア定義のセキュリティはトレンドとなり、ますます多くのセキュリティ ソフトウェアが仮想化され、プログラム可能な制御をサポートするようになりました。セキュリティ問題を解決するためにクラウドを使用することは、ますます一般的になるだろう。 3つ目は、迅速なコンプライアンス対応であり、新しいテクノロジーと新しいコンプライアンス要件をワンストップで解決できるかどうかです。

4. 仮想化により、仮想マシンのエスケープなどのセキュリティ上のリスクが発生します。通常の状況では、同じ仮想化プラットフォームのクライアント仮想マシンは、相互に監視したり、他の仮想マシンやそのプロセスに影響を与えたりすることはできません。ただし、仮想化の脆弱性や不適切な分離方法が存在すると、分離が失敗し、権限のない仮想マシンがハイパーバイザーへのアクセス権を取得できる可能性があります。仮想化プラットフォームにはセキュリティ上のリスクもいくつかあります。仮想マシンを移行する場合、まず仮想マシンのメモリやその他のステータス情報を移行し、仮想マシンのコピーを新しい物理マシンに転送して操作を再開する必要があるため、ハッカーが機密情報を傍受する時間が長くなります。仮想マシンのイメージとスナップショットを復元する場合、タイムリーなシステム パッチがないため、新しく作成された仮想マシンは脅威に対して非常に脆弱になります。

5. クラウド リソースを柔軟に割り当てることができるため、従来のセキュリティ ドメインの利便性が損なわれます。従来のネットワーク機器では、同一物理マシン上の仮想マシン（業務システム）間のネットワークトラフィックを検出することはできません。国内でのウイルス感染による相互感染攻撃は国境警備装置では制御できない。従来のセキュリティ ポリシーでは、仮想マシンの移行を認識したり追跡したりすることができません。仮想マシン間の分離は主に仮想化層ソフトウェアによって実現されますが、同じホストマシン内の他のテナントのセキュリティ保護機能を制御することはできません。ハッカーが仮想マシンを使用してホストマシンのすべてのリソースを取得し、他の仮想マシンが利用できるリソースがなくなると、仮想化環境でサービス拒否攻撃が発生し、「隣人」が火災の影響を受けます。

6. 仮想ネットワークにはリスクが伴います。一方では、従来のセキュリティ ドメインが壊れ、東西トラフィックが見えなくなり、同じホスト内の異なるビジネス システム間の通信 (東西フロー) は、従来の (南北フロー) 物理セキュリティ デバイスでは検出できません。一方、超大規模なレイヤー 2 仮想ネットワークでは、ハッカーによる侵入の可能性があるチャネルが多数存在し、攻撃の有害性は従来のネットワークへの影響をはるかに上回ります。そのため、セキュリティ管理においてもリスクが生じます。運用および保守担当者は通常、VMware の vCenter や Citrix の XenCenter などのリモート管理プラットフォームを使用して仮想マシンを管理します。集中管理により管理の複雑さは軽減されますが、SQL インジェクションなどのリスクが生じる可能性があります。

7. クラウド コンピューティングには必須のセキュリティ規制があります。公安部は「ネットワークセキュリティレベル保護規則」を発行しました。大規模なクラウド コンピューティング プラットフォームの場合、クラウド コンピューティング インフラストラクチャと関連する補助サービス システムを異なる分類オブジェクトに分割する必要があります。従来のセキュリティ対策では、クラウド セキュリティ コンプライアンスの要件を満たすことができません。クラウド環境では、クラウド セキュリティ責任モデルによって、明確なガバナンス レベルと、権利と責任の明確な境界を備えたエンドツーエンドの全体的なセキュリティ システムを構築する必要があります。コアコンセプトは、セキュリティコンプライアンスに基づいたスマートクラウドセキュリティであり、完全なセキュリティコンポーネント、迅速な配信要件を満たすセキュリティリソースプール、集中化されたログ監査とストレージ、および権限の分離を備えています。これは、ソフトウェア定義のセキュリティとオープンな全体アーキテクチャに基づいています。南側へのサードパーティのセキュリティ コンポーネントの統合と、東側と西側のさまざまなクラウド プラットフォームへの接続をサポートします。また、北側へのオープンインターフェースを通じた統合もサポートします。セキュリティ操作を中核として、資産の同期、テナントの同期、サービスのオーケストレーション、イベントの監視、アラームと廃棄、計測と課金、セキュリティ サービスなどが含まれます。