ハイブリッドクラウドのセキュリティに関する8つの重要な考慮事項

ハイブリッドクラウドのセキュリティに関する8つの重要な考慮事項

[[228664]]

ハイブリッド クラウドを導入すると、組織のセキュリティ体制が弱まるのではなく、強化されます。しかし、セキュリティの強化がデフォルト設定になっているわけではありません。クラウド コンピューティング テクノロジーが成熟するにつれて、クラウド コンピューティングのセキュリティに関する企業の懸念は減少していますが、セキュリティは組織が対処して管理する必要がある継続的な課題であり続けています。また、ハイブリッド クラウド環境には、独自のセキュリティ上の考慮事項が伴います。

「ハイブリッド クラウド環境は動的かつ複雑であり、複数のエンド ユーザーが複数の場所から複数の環境にアクセスすることでさらに複雑になります」と、国際情報セキュリティ学習アライアンス (CISA) の認定情報システム セキュリティ専門家である Christopher Steffen (CISSP、CISA) は述べています。ステフェン氏は Cyxtera の最高技術責任者です。同社は最近、ステフェン氏が以前務めていたセキュリティ製品プロバイダーの Cryptzone を買収しました。

Steffen 氏と他のセキュリティ専門家が、ハイブリッド クラウド環境のセキュリティを確保する際に CIO とそのチームが留意すべき重要な問題について議論します。企業は、次の 8 つの重要な要素を優先する必要があります。

1. 企業は完全な可視性を確保する

CBI の戦略イニシアチブ担当副社長であり、サイバーセキュリティの上級専門家でもある J. Wolfgang Goerlich 氏は、IT 業界では、多くの CIO やその他の IT リーダーが自社の環境に盲点があったり、社内に展開されているインフラストラクチャに対する視野が狭すぎたりすることが多いと指摘しました。

企業とそのエンド ユーザーが何百ものクラウドベースのアプリケーションを使用でき、複数の部門がインフラストラクチャ アズ ア サービス プラットフォーム上に独自の仮想サーバーを作成できるようになったため、プライベート クラウド、パブリック クラウド、従来のインフラストラクチャ全体にわたる完全な可視性が必須となっています。ゲーリッヒ氏は、可視性の欠如は企業にとってより大きなセキュリティリスクを生み出すと述べた。

2. すべての資産には所有者が必要

ビジネスに 360 度の可視性が欠けている場合、所有権が欠如するリスクがあります。企業内のすべてのハイブリッド クラウド施設には所有者が必要です。

「IT セキュリティの重要な原則は、所有者が必要であり、各資産を識別し、その所有者にその資産に対する最小限の権限と職務の分離の責任を負わせることです」と Goerlich 氏は言います。 「可視性の欠如は所有権の欠如につながります。つまり、ハイブリッド クラウド環境ではアクセス制御が緩く定義されており、職務の分離が行われていないことがよくあります。権限が多すぎるとリスクが生じ、所有者がいないというリスクは対処されていないリスクです。」

3. ハイブリッドクラウド?ハイブリッドセキュリティを試す

IT は、企業にサービスを提供するだけでなく、企業の全体的なビジネス戦略を推進する役割を担うようになってきており、ハイブリッド クラウド モデルはこの変革を実現する手段となっています。同様に、現代の IT では、ハイブリッド セキュリティなどの古いセキュリティ モデルを再考する必要があります。

「セキュリティに関する戦略は進化し続けており、多くの企業がハイブリッドアプローチを採用して、セキュリティインフラストラクチャにさらに多くのレイヤーと深さを構築しています」と、Biscom の CEO である Bill Ho 氏は述べています。企業のセキュリティ テクノロジの一部はデータ センター内のオンプレミスに存在する場合がありますが、他のテクノロジは企業ネットワークの外部で実行する方が適切な場合があります。

「企業がデスクトップ ウイルス対策、DLP、ファイアウォール、IDS/IPS システムなどのセキュリティ ツールやアプリケーションを社内に導入する理由は数多くあります」と Ho 氏は説明します。これらの一部はクラウド サービスとして提供されますが、他の一部はクラウドにコンポーネントを持ち、アプリケーションはローカル データ センターで実行されます。 DDoS 攻撃の緩和に役立つサービスなど、一部のサービスはクラウドで処理するのが最適です。

4. セキュリティとコンプライアンス: つながっているが同じではない

「規制を遵守しなくても安心感は得られるが、セキュリティ上の問題がなければ規制を遵守できない可能性がある」とステフェン氏は語った。 「特にハイブリッド クラウド モデルに移行する場合は、セキュリティとコンプライアンスを混同しないでください。コンプライアンスは、クラウド セキュリティ戦略の重要な部分ですが、別の部分として考慮する必要があります。」

ハイブリッドまたはマルチクラウド環境におけるコンプライアンスは、クラウド導入の障壁となる必要はありません。実際、多くの内部統制は企業のクラウド環境に相互適用できます。ただし、企業にとっては、クラウド プロバイダーが使用する既存の制御と、それが企業の既存の制御システムとどのように関連しているかを理解することが重要です。 ”

「クラウドプロバイダーが使用する制御に準拠するには、手順を少し変更する必要があるかもしれません」とステフェン氏は付け加えた。 「しかし、それはまた、これまでのセキュリティ戦略の根本的な転換を意味する可能性もあります。クラウド プロバイダーまたはセキュリティ ベンダーを選択する前に、コンプライアンス制御評価を実行することが必須です。」

5. 御社のツールは他のベンダーと統合できますか?

「特定のクラウドプロバイダーと、彼らが使用しているセキュリティツールは、あなたが使用しているツールとどのように統合されるのでしょうか? うまく統合できるツールはたくさんありますが、使用しているセキュリティツールセットが外部と互換性がない場合、面倒なことになり、他のプラットフォームと連携するプラットフォームやツールを見つける必要があるかもしれません」とステフェン氏は語った。 「したがって、クラウド プロバイダーとセキュリティ ベンダーは、既存のオンプレミス プラットフォームおよびツールとの簡単な統合を提供する必要があります。」

6. 企業はサプライヤーを理解する必要がある

コンプライアンスと統合に関する Steffen のアドバイスは、ハイブリッド クラウド環境のセキュリティ保護は、使用するプラットフォームに関する知識と理解に大きく依存することを思い出させてくれます。

Biscom の CEO である Bill Ho 氏は、強力なクラウド コンピューティング ベンダーは、社内の IT セキュリティ チームに欠けている専門知識を実際に提供できると述べています。たとえば、ゼロデイ攻撃などの潜在的な脅威をリアルタイムで監視できるようになります。しかし、それは当然のことではありません。

「他のクラウドコンピューティングサービスと同様に、プロバイダーの資格を精査する必要がある」とホー氏は語った。 「認定資格を調査し、プロバイダーのポリシーを理解し、ネットワークを公開するリスクを理解し、SOC 2 Type II レポートなどのプロセス レポートを確認する必要があります。」

7. ハイブリッドモデルの拡張通信

「ハイブリッドクラウドは、通信に関するスケーラビリティの問題をもたらします」とゲーリッヒ氏は言う。 「繰り返しになりますが、これは可視性と所有権の欠如による副産物であり、マルチクラウドおよびマルチベンダー戦略を採用している組織では特に当てはまります。」

明確なコミュニケーションは、特に新たな脆弱性や攻撃インシデントが発生した場合に、強力なセキュリティ体制の重要な要素となります。これは、企業の IT リーダーが社内だけでなくベンダーやその他のサードパーティとも連携して適切に対処する必要がある領域です。

8. 継続的なリスク評価を実施する

最初からセキュリティ重視のハイブリッド クラウド環境を構築することは良い第一歩ですが、それはまだ第一歩にすぎません。 Goerlich 氏は、動的なハイブリッド クラウド環境を保護するには継続的なリスク評価が必要であると指摘しました。

「組織が脆弱性やセキュリティ上の問題を特定するもう一つの方法は、リスク評価を行うことです」とゲーリッヒ氏は言う。

彼は3つの例を挙げた。

• ベンダーリスク管理は継続的なデューデリジェンスのようなもので、「どのベンダーがどのサービスを提供しているかを明らかにし、それらのベンダーのセキュリティプログラムを照会することができます。」

• ソフトウェア構成分析により、「コード内のどのサードパーティ ライブラリが構築したアプリケーションに悪影響を及ぼす可能性があるかを特定できます。」

• 技術的な脆弱性評価と侵入テストにより、「現在のセキュリティ体制に関するさらなる洞察が得られます。組織が依存するハイブリッド クラウド テクノロジーの範囲と規模により、これをセグメント化された方法で実行する必要があります。」

安全な成長の維持

ハイブリッド クラウド戦略が拡大するにつれて、セキュリティ計画も進化する必要があります。

「何を持っているか、誰がそれを所有しているか、誰がそれにアクセスできるかを把握し、コミュニケーションのための明確なチャネルを確保し、それをセグメントに分割し、リスク評価を行う必要がある」とゲーリッヒ氏は述べた。 「一度に 1 つのことだけに取り組むことで、最も重要なテクノロジー、つまり主要なビジネス戦略と機能をサポートするテクノロジーに集中して成​​功することができます。ハイブリッド クラウドによって企業が利用するテクノロジーが拡大するにつれて、リーダーはセキュリティ分野での優先順位付けとコラボレーションも拡大する必要があります。」

【編集者のおすすめ】

  1. 内部データを徹底分析!グリーは実践を通して、知性への道を切り開く5つのステップを教えてくれます
  2. インテリジェント製造の動向を把握し、大企業はどのようにすれば適切なタイミングで適切な対応を行えるのでしょうか?
  3. サーバー仮想化の動向分析
  4. インテリジェント製造のトレンドにより、自動化業界は非常に有望ですか?
  5. 人工知能、モノのインターネット、ブロックチェーンが金融業界を変革する

<<:  Lingqiao Cloud はインテルから戦略的投資を受け、コンテナ PaaS の主導権を握るための取り組みを加速します。

>>:  「二つのクラウド」が論争を巻き起こし、中国のパブリッククラウド競争が激化

推薦する

友好的なリンクを交換する際の方法と注意点

1. フレンドリーリンクの交換基準 2. フレンドリーリンクの書き方 3. 各種検索エンジンは外部リ...

デジタルトランスフォーメーションとハイブリッドクラウド戦略の策定のメリット

世界各国が流行病への対応に取り組んでいる中、科学界は可能な限り短期間で効果的なワクチンを開発したいと...

hostodo - 最新のサーバー、アジアに最適化された VPS、ロサンゼルス QN データセンター

Hostodo はクリスマスに新しい VPS サーバーの立ち上げを正式に発表しました。新しい VPS...

お金を優先する戦略が必ずしもウェブサイト運営の成功につながるわけではないという事実を簡単に分析する

多くの人が「お金は悪魔を働かせる」と聞いたことがあり、中には「お金は悪魔を働かせる」と聞いたことがあ...

ブラック 5: edis.at - 生涯 35% オフ/KVM/OVZ/14 データセンター

edis.at の VPS は香港をはじめ、世界中に 10 か所以上のデータセンターがあります。ご興...

クラウドへの変換はどれくらい簡単ですか?変革の苦痛を解消するために、Mobvistaはクラウドネイティブへの投資を増加

10 年前、Netscape の創設者であり、シリコンバレーの有名な投資家である Marc Andr...

Google Adsenseの最適化が職業になるとき

検索エンジン最適化サービスは現在では一般的です。多くの大企業が最適化に注目し、関連サービスを探し始め...

スマートマーケティングのウルトラブック詐欺!

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています最近、多く...

Bigrock は .pw ドメイン名を年間 5.49 ドルで提供しています

BigRock は、優れた資格を持つ ICANN 認定のドメイン名登録機関です。Directi (h...

観光地のチケット予約はO2Oへの重要な入り口となる

最近、Weiboでは国慶節の混雑についてさまざまな苦情や傍観者がいる。コロンス島は「陥落」し、西湖に...

Facebook CEO VS Microsoft CEO: 富の戦いか、技術の戦いか?

テクノロジーが富を生み出し、富がテクノロジーの進歩を促進するというのは否定できない事実です。 Fac...

持続不可能なSaaS製品を救う方法

[[355134]]以前にもこの話題について簡単に触れましたが、今日は皆さんとさらに詳しく議論したい...

Google AdSense で収益につながらない無効なクリックの 10 種類について簡単に説明します。

1. 広告をクリックするために特別に設計された自動クリック プログラムまたはアプリケーションを使用す...

クラウド コンピューティングのパフォーマンスを向上させる 6 つのテクノロジー

適切なサービスと設計により、エンタープライズ クラウド アプリケーションのパフォーマンスを向上させる...