クラウドテナントセキュリティ構築に関するアイデアの共有

企業がクラウド コンピューティングに深く関与するにつれて、セキュリティ戦略は、クラウド上に構築する際に企業が重点を置く必要がある問題になりました。クラウド コンピューティングを安全かつ効果的に活用してビジネスを遂行するにはどうすればよいでしょうか?この記事では、クラウド テナント向けのセキュリティ構築のアイデアを簡単に紹介します。自分自身と敵を知り、セキュリティ リスクを許容範囲内に制御します。

1. 自分を知る

自分自身を理解することは最も難しいことかもしれませんが、最も重要です。企業によってクラウド システムやプロジェクトは異なり、ビジネス システムやプロジェクトの重要度も異なります。企業がまず行うべきことは、自社の業務システムを分析し、業務システムの重要度とセキュリティの収益率に基づいてセキュリティ予算を組むことです。

（II）敵を知る

エンタープライズ クラウド ビジネス システムは、運用中に多くのセキュリティ上の脅威に直面します。セキュリティ脅威の可能性のある発生源を効果的に特定することは、クラウド セキュリティ防御システムを構築するための前提条件です。では、企業のクラウド ビジネス システムはどのようなセキュリティ上の脅威に直面する可能性があるのでしょうか?

（１）ネットワーク層：サービス拒否攻撃

分散型サービス拒否攻撃 (DDoS) は、最も暴力的で残忍かつ効果的な攻撃方法であり、企業のクラウド ビジネス システムの帯域幅の輻輳に直接つながる可能性があります。

（２）ホスト層：クラウドホスト侵入攻撃

クラウド ホストは、クラウド上のエンタープライズ ビジネス システムの重要なキャリアです。攻撃者は、ブルートフォースクラッキングや構成の脆弱性を利用してクラウドホストに侵入し、ボットネットを構築し、データを盗み、恐喝を実行します。

（３）アプリケーション層：Webアプリケーションの脆弱性攻撃

外部サービスを提供するエンタープライズ クラウド上のシステムの多くは、HTTP/S アプリケーション プロトコル (Web) を使用しています。攻撃者は、Web サービスに存在する可能性のある多くの脆弱性を悪用して攻撃を開始し、ビジネス システムのデータや権限を盗みます。

（4）データ層：データの盗難または改ざん

クラウド上の業務システムのデータは、送信時にインターネットを通過するため、途中で盗難や改ざんされる可能性があり、データの完全性や機密性に影響を与えます。

（５）運用保守層：運用保守担当者が規則に違反して危険な操作を行っている

企業のクラウドベースの業務システムでは、社内の担当者が運用・保守業務を実行する必要があるため、リスクの高い運用・保守業務を防止することが重要です。

（6）コンプライアンス層：国家レベルの保護

2017年6月、国家サイバーセキュリティ法が施行されました。企業のセキュリティ構築は、社内だけでなく法律によっても推進されます。

（III）安全リスク管理

同社は、クラウド上の業務システムの重要性と、起こり得るセキュリティリスクを整理し、クラウド上にセキュリティシステムを構築し始めました。

（１）クラウドビジネスシステムアーキテクチャ

クラウド上のVPC（プライベートネットワーク）を利用することで、クラウドテナントに属する論理的に分離されたネットワーク環境を構築します。プライベート ネットワークでは、指定されたネットワーク セグメントを持つ VPC を作成し、VPC 内にサブネットを作成し、クラウド リソースを個別に管理し、ネットワーク ACL を通じてセキュリティ保護を実装します。

（２）サービスポートの分類

企業は、各ビジネス システムの開いている IP、ポート、サービスを整理し、攻撃対象領域を減らすために開く必要がある IP、ポート、サービスのみを公開します。

（３）セキュリティ構成ベースライン

企業は、Linux システムのセキュリティ構成ベースライン (共有アカウント チェック、冗長アカウント ロックアウト ポリシー、ROOT リモート アカウント ログイン制限、パスワードの複雑さのポリシー、パスワードの最大有効期間ポリシー、ディレクトリ権限の制御など) など、独自の条件に基づいてクラウド システムの内部ベースライン構成を策定し、実装します。

（4）クラウドセキュリティソリューション

• 高度な防御サービスを使用して、ネットワーク層が直面するサービス拒否攻撃のリスクを制御します。
• Web アプリケーション ファイアウォールを使用して、アプリケーション層が直面する Web アプリケーションの脆弱性攻撃のリスクを制御します。
• ホスト侵入検知を使用して、クラウド ホストが直面するブルート フォース クラッキング、脆弱性攻撃、トロイの木馬のリスクを制御します。
• SSL 証明書とデータベース監査を使用して、データの送信および処理中の盗難や改ざんのリスクを制御します。
• 要塞ホストを使用して、内部の運用および保守担当者による不正な運用および保守のリスクを制御します。
• 国家のサイバーセキュリティの段階的保護コンプライアンス要件を満たすために、段階的セキュリティ コンサルティング サービスを採用します。

UCloud セキュリティ製品選択ガイド

（５）緊急対応計画

セキュリティは相対的なものであり、絶対的なセキュリティは存在しません。企業は、起こりうるセキュリティインシデントに対処するために、独自のセキュリティ緊急対応チームを構築するか、サードパーティの緊急対応サービスを導入する必要があります。

（IV）最後の言葉

セキュリティシステムの構築は、セキュリティ技術の知識の包括的な理解と切り離せません。関連するアイデアや方法に加えて、セキュリティ エンジニア向けの技術学習マップもまとめました。このマップが、皆様がセキュリティ分野の知識体系をより深く理解し、習得する一助となることを願っています。世の中のあらゆることを一般化できるわけではないということを明確にする必要があります。具体的な問題は、実際の状況と合わせて分析する必要があります。実践だけが真の知識をもたらします。

ウェブサイトの画像圧縮により、一部のコンテンツが不明瞭になる場合があります。興味のある読者はリンクをクリックして高解像度の電子版を無料でダウンロードできます。