未知のクラウド内の未知の資産を発見

クラウド資産の検出は、ほとんどの組織のクラウド戦略の中で最も見落とされ、最も理解されていないコンポーネントの 1 つです。理由はこうです。

独自のデータセンターの運用を開始すると、組織のインターネットエッジを検出するのは簡単な作業になり、セキュリティは、資産の安全を確保するために静的 IP アドレスのリストをスキャンするだけです。現在、ほとんどの組織は、大規模なクラウドフットプリントを構築済みか、構築中です。その大きな推進力となっているのは、開発者、マーケティング、その他の非 IT 部門がクラウド内に資産を作成 (および放棄) していることです。これらの未知および無許可のクラウド資産の多くは一時的な IP スペースに存在するため、組織がクラウドセキュリティとインフラストラクチャ管理を完全に把握することが困難になっています。

[[253322]]

世界的なクラウド導入率が上昇するにつれ、現在のツールでは対処できない新たな IT およびセキュリティの課題が生まれています。既知の資産を保護するのは簡単ですが、クラウドプラットフォームに蔓延しているシャドー IT や悪意のあるエクスプロイトなどの未知の資産を保護することは不可能です。エンタープライズクラウドフットプリントには、次のような固有の課題があります。

既存のツールでは、認可されたプロバイダーと認可されていないプロバイダーのクラウドコンピューティング資産を最新かつ信頼性の高い包括的な方法で検出することができません。
未知および無許可のクラウド資産が簡単かつ迅速に生成され、アクティブのまま検出されないままになる可能性があります。
既存のツールでは、マルチテナント環境や一時環境における所有資産やその他の資産に確実に対応することはできません。

一時 IP 空間で資産を管理および保護するには、資産の最新かつ正確なビューが必要です。既存のクラウド管理ツールは、ホスティング会社の資産の IP アドレスが 1 回確認されただけでクラウド IP アドレスを組織まで追跡できるため、機能しません。この情報はすぐに古くなり、クラウドコンピューティング資産を悪意のある目的から保護するのに役立たず、実用的なものにもなりません。したがって、静的ネットワーク向けに設計されたセキュリティパラダイムはクラウドでは機能しません。さらに悪いことに、この非効率的なアプローチに頼ると、IT 担当者やセキュリティ担当者は、自分たちに属さない資産のスキャン、ペンテスト、調査に時間を浪費する一方で、リスクを生み出す重要な未知のクラウド資産を見逃してしまう可能性があります。

多くのクラウド管理ツールベンダーは、IaaS 管理インターフェースとの統合を通じて資産の包括的なビューを提供できると考えています。エクスパンス社のサイバーリスク担当シニアディレクター、マーシャル・カイパース博士は、「表面的には良い解決策のように見えるかもしれないが、この戦略でカバーされるのはすでに追跡されているものだけであり、誤った安心感を与える可能性がある」と警告した。

カイパース博士は、これらの統合では、大規模な組織では日常的に発生し、ポリシーに違反したマーケティング、開発、その他のビジネス機能による悪意のあるクラウド展開から生じる「未知の未知」を特定できないと指摘しました。マルチテナントでは、複数の企業の資産が同じ IP 上に存在する可能性があるため、この問題は悪化します。

Kuypers 博士はさらに、Expanses の総合インターネットクラウド検出を使用している顧客は、気付いていなかったクラウドベースのインターネット資産が 3% ～ 70% 増加していることに気付くことが多いと指摘しました。そして、これらの資産には、組織のインターネットエッジに重大なリスクをもたらす誤った構成が含まれていることがよくあります。これらの発見には、公開された（場合によっては侵害された）データストレージサービス、放棄された開発環境、さらにはポップアップの電子商取引サイトが含まれることがよくあります。

「インターネット全体」アプローチ

現在、組織のクラウドコンピューティング資産は、住宅用/商用クラウドプロバイダーを含むあらゆるプロバイダーに保存できます。この問題に完全に対処するには、組織はまずクラウドセキュリティに対して、検出重視の「インターネット全体」アプローチを採用する必要があります。

クラウド資産が検出され、危険な構成ミスが明らかになると、組織は市場にある無数のクラウドセキュリティツールを活用したり、IaaS コンソールにアクセスして資産のアクセス許可やその他の構成項目を管理したりできるようになります。しかし、組織のクラウドフットプリントの明確で正確な画像を維持するためには、クラウド資産の検出を継続的なプロセスにする必要があります。

<<: ケーススタディ |ホスピタリティ、エネルギー、食品、農業などの業界におけるクラウド移行パスのまとめ（パート 2）

>>: 2018年のクラウドコンピューティングのレビュー：私の国は利益に追いつき、将来の焦点になりつつあります