企業はパブリッククラウドのセキュリティに対する責任を共有する必要がある

多くのパブリック クラウド プロバイダーには、ソフトウェア サービス、プラットフォーム サービス、またはインフラストラクチャ サービス レイヤーでセキュリティを提供することに専念するチームがあり、過去数年間にわたって、多くのプロバイダーが、自社のサービスのセキュリティを以前よりも強化するために多大なリソースを投資してきました。しかし、それでも、パブリック クラウドは、厳格なプライバシー、セキュリティ、コンプライアンス規制の下で運営されている組織にとって依然としてリスクをもたらす可能性があります。したがって、企業の IT プロフェッショナルも役割を果たし、企業のビジネスのセキュリティを確保する責任を負う必要があります。これは、クラウド コンピューティング プロバイダーの責任が終了し、企業の責任が始まる範囲の延長でもあります。

クラウド コンピューティング環境のセキュリティを強化する場合、IT チームは次の点を考慮する必要があります。

SaaS: 適切な権限を取得する

SaaS プロバイダーはアプリケーションのセキュリティを確保する責任がありますが、コンテンツのアクセス許可を正しく設定するのは企業の IT プロフェッショナルの責任です。これらの権限はユーザーに依存しており、必要に応じて定期的に確認および調整する必要があります。多くの SaaS プロバイダーでは、管理者がユーザーの共有権限を制御できるようにして、利便性とセキュリティの間の望ましいバランスを実現できるようにしています。

管理者は、読み取りおよび書き込み権限が必要なユーザーにのみ付与されるように SaaS ツールを構成することで、「最小権限の原則」を実施する必要があります。たとえば、ネットワーク ドキュメントのセキュリティ設定を十分に理解していない作業者は、コンテンツを外部に漏らしてしまう可能性があります。今日では大量の顧客情報漏洩が日常茶飯事であり、読み取りアクセス権限が過度に緩いと、不適切な人物が機密情報にアクセスできてしまう可能性があります。書き込み権限を開放すると、悪意のあるユーザーが「偽のコンテンツ」を作成する機会を与え、正当なユーザーが本物で有効なコンテンツを信用しなくなる可能性があります。 IT 管理者は、読み取り (漏洩) 権限と書き込み (信頼できないデータにつながる可能性のあるデータの破損または汚染) 権限の悪用を防ぐために、ユーザー権限を慎重かつ細心の注意を払って設定する必要があります。

PaaS: コンテナのセキュリティの評価

Linux コンテナは、その利便性と速度と柔軟性の向上により人気が高まっていますが、多くのプロバイダーにとってセキュリティは依然として問題となっています。 IT 管理者は、コンテナ イメージをスキャンして修正し、既知のセキュリティ脆弱性がないことを確認する必要があります。理想的には、開発チームと連携して DevOps テクニックを使用し、開発者の継続的インテグレーションとデプロイメント パイプラインにおけるセキュリティ チェックと修復を自動化できます。これにより、開発者がアプリケーションの更新を適用するときに、手動で実装されたセキュリティ プロセスによって制限されることがなくなります。

組織は、ベンダーに対してコンテナ イメージのセキュリティ状態に関する透明性を要求する必要があります。コンテナヘルスインデックスが役立ちます。これらのリポジトリは、Linux コンテナ イメージのセキュリティの評価を毎日およびオンデマンドで提供し、管理者がどのコンテナが安全に使用できるか、どのコンテナに既知の脆弱性が含まれているかを判断できるようにします。

IaaS: プラットフォームのセキュリティ保護

IaaS プロバイダーは、ハードウェアを提供し、顧客のクラウド コンピューティング仮想マシン用に効率的で安全な仮想空間を作成する責任を負います。ただし、ホスティング エージェントは、クライアントのオペレーティング システムに完全なパッチが適用され、セキュリティ ベースラインを満たしていることを確認する必要があります。

管理者は、同じ管理プラットフォームとツールを使用して、独自のクラウド VM 上の物理インフラストラクチャ システムと仮想化インフラストラクチャ システムをスキャンして修復する必要があります。共通プラットフォームを使用すると、さまざまな管理ソフトウェアや管理ツールを使いこなす必要がなくなります。統合ツールを使用すると、物理システム、仮想化インフラストラクチャ、クラウドなど、組織全体のセキュリティを総合的に把握できます。

IT 管理者は他の重要なセキュリティ対策も講じることができます。使用されなくなった VM をシャットダウンし、場合によっては隔離することで、攻撃者がパッチを適用していないクラウド VM にアクセスし、クラウド インフラストラクチャ内を横方向に移動してより利益の高いターゲットに到達するのを防ぐ必要があります。セキュリティが強化された Linux では、アクセス制御とセキュリティ ポリシーを適用でき、ID 管理により、IT プロフェッショナルはシステムへの管理アクセス権を持つユーザーを統合および監査できます。セキュリティと有効性を確保するために、多要素認証を実装する必要があります。

最後に、人為的エラーの可能性を減らし、セキュリティを向上させるために、IaaS 環境を可能な限り自動化する必要があります。管理者はダッシュボードとリモート コマンド ツールを使用して自動化インフラストラクチャを簡単に監視し、セキュリティの問題を迅速に解決できます。

IT 管理者が運用環境を保護する責任を果たしている限り、企業はパブリック クラウド プラットフォームを導入してビジネスを運営することで大きなメリットを得ることができます。