サーバーレス コンピューティング: サービスとしての機能とインフラストラクチャ

セキュリティはクラウドプロバイダーと顧客の間で共有される責任です。この共有モデルにより、クラウド プロバイダーは運用および管理時に物理および仮想化された IT および IDC リソースをオンデマンドで柔軟に組み合わせることができるため、顧客の運用上の負担が軽減されます。

現在、顧客が Infrastructure as a Service (IaaS) プラットフォームにアプリケーションを展開する場合、セキュリティ パッチの更新、アプリケーションの関連付け、ネットワーク ファイアウォールの構成など、オペレーティング システムの管理の責任は顧客にあります。クラウド環境における仮想プロジェクトインスタンスの場合、お客様は、IT 環境で使用されるサービスの統合、法規制の適用可能性などに応じて、クラウド サービスの選択方法を慎重に検討する必要があります。

サーバーレス コンピューティング (FaaS または Function as a Service) の導入により、セキュリティの責任はクラウド プロバイダーに移行し、企業はコア ビジネスにさらに集中できるようになります。しかし、セキュリティ責任をクラウドに移行することで、企業は実際にどれだけの利益を得られるのでしょうか?

[[258128]]

コア要件: 物理セキュリティからアプリケーションセキュリティまで

以下の項目は、物理層からアプリケーション層まで、下から上にリストされています。

• 物理インフラストラクチャ、物理的な境界、ハードウェアアクセス制限
• インフラストラクチャとシステムを安全に構成する
• すべてのシステムとプロセス（オペレーティングシステム、サービス）のセキュリティを定期的にテストする
• システム（オペレーティングシステム、サービス）へのアクセスを識別および認証する
• オペレーティングシステムの欠陥を修正する
• 強化されたオペレーティングシステムとサービス
• すべてのシステムをマルウェアやバックドアから保護する
• ランタイム環境と関連パッケージの脆弱性を修正
• 予防と保管保護
• ネットワークをセグメント化する
• すべてのネットワークリソースとアクセスを監視する
• ネットワークファイアウォールのインストールと保守
• ネットワーク層DoS保護
• ユーザー認証
• アプリケーションとデータへのアクセス権限制御
• アプリケーションとアクセスされたすべてのデータの監査証跡を記録し、維持する
• イベントデータレビュー用のアプリケーション層ファイアウォールを導入する
• サードパーティの依存関係の脆弱性を検出して修正する
• 権限の少ないIAM（Identity and Access Management）ロールと権限を使用する
• 正当なアプリケーション操作の実装
• データ漏洩防止
• 開発中のコードと構成の静的スキャン
• サーバーレスまたはクラウド資産のインベントリの維持
• タイムアウトした、または使用されていないクラウドサービスと機能を削除する
• エラーやセキュリティイベントを継続的に監視する

IaaS: プロバイダーと顧客

IaaS 上でアプリケーションを開発する場合、セキュリティの責任は大きく分けて次のカテゴリに分けられます。

1. クラウドプロバイダーの責任:

• ITインフラストラクチャ、物理的境界、ハードウェアへのアクセス制限
• インフラストラクチャとシステムを安全に構成する

2. 顧客の責任:

• すべてのシステムとプロセス（オペレーティングシステム、サービス）のセキュリティを定期的にテストする
• システム（オペレーティングシステム、サービス）へのアクセスを識別および認証する
• オペレーティングシステムの欠陥を修正する
• 強化されたオペレーティングシステムとサービス
• すべてのシステムをマルウェアやバックドアから保護する
• ランタイム環境と関連パッケージのバグを修正
• 予防と保管保護
• ネットワークをセグメント化する
• すべてのネットワークリソースとアクセスを追跡および監視する
• ネットワークファイアウォールのインストールと保守
• ネットワーク層DoS保護
• ユーザー認証
• アプリケーションとデータへのアクセス権限制御
• アプリケーションとアクセスされたすべてのデータの監査証跡を記録し、維持する
• イベントデータレビュー用のアプリケーション層ファイアウォールを導入する

サーバーレス (FaaS): プロバイダーと顧客

サーバーレス アーキテクチャ上でアプリケーションを開発する場合、責任をどのように分担すべきか:

1. クラウドプロバイダーの責任:

• 物理インフラストラクチャ、物理的な境界、ハードウェアアクセス制限
• インフラストラクチャとシステムを安全に構成する
• すべてのシステムとプロセス（オペレーティングシステム、サービス）のセキュリティを定期的にテストする
• システム（オペレーティングシステム、サービス）へのアクセスを識別および認証する
• オペレーティングシステムの欠陥を修正する
• 強化されたオペレーティングシステムとサービス
• すべてのシステムをマルウェアやバックドアから保護する
• ランタイム環境と関連パッケージのバグを修正
• 予防と保管保護
• ネットワークをセグメント化する
• すべてのネットワークリソースとアクセスを追跡および監視する
• ネットワークファイアウォールのインストールと保守
• ネットワーク層DoS保護

2. 顧客の責任:

• ユーザー認証
• アプリケーションとデータへのアクセスの承認制御
• アプリケーションとアクセスされたすべてのデータの監査証跡を記録し、維持する
• イベントデータ検査用のアプリケーション層ファイアウォールを導入する
• サードパーティの依存関係の脆弱性を検出して修正する
• 権限の少ないIAM（Identity and Access Management）ロールと権限を使用する
• 正当なアプリケーションの動作を強制する
• データ漏洩防止
• 開発中のコードと構成の静的スキャン
• サーバーレスまたはクラウド資産のインベントリの維持
• タイムアウトした、または使用されていないクラウドサービスと機能を削除する
• エラーやセキュリティイベントを継続的に監視する