ハイブリッドクラウドのセキュリティに関する8つの重要な考慮事項

ハイブリッドクラウドのセキュリティに関する8つの重要な考慮事項

[[228664]]

ハイブリッド クラウドを導入すると、組織のセキュリティ体制が弱まるのではなく、強化されます。しかし、セキュリティの強化がデフォルト設定になっているわけではありません。クラウド コンピューティング テクノロジーが成熟するにつれて、クラウド コンピューティングのセキュリティに関する企業の懸念は減少していますが、セキュリティは組織が対処して管理する必要がある継続的な課題であり続けています。また、ハイブリッド クラウド環境には、独自のセキュリティ上の考慮事項が伴います。

「ハイブリッド クラウド環境は動的かつ複雑であり、複数のエンド ユーザーが複数の場所から複数の環境にアクセスすることでさらに複雑になります」と、国際情報セキュリティ学習アライアンス (CISA) の認定情報システム セキュリティ専門家である Christopher Steffen (CISSP、CISA) は述べています。ステフェン氏は Cyxtera の最高技術責任者です。同社は最近、ステフェン氏が以前務めていたセキュリティ製品プロバイダーの Cryptzone を買収しました。

Steffen 氏と他のセキュリティ専門家が、ハイブリッド クラウド環境のセキュリティを確保する際に CIO とそのチームが留意すべき重要な問題について議論します。企業は、次の 8 つの重要な要素を優先する必要があります。

1. 企業は完全な可視性を確保する

CBI の戦略イニシアチブ担当副社長であり、サイバーセキュリティの上級専門家でもある J. Wolfgang Goerlich 氏は、IT 業界では、多くの CIO やその他の IT リーダーが自社の環境に盲点があったり、社内に展開されているインフラストラクチャに対する視野が狭すぎたりすることが多いと指摘しました。

企業とそのエンド ユーザーが何百ものクラウドベースのアプリケーションを使用でき、複数の部門がインフラストラクチャ アズ ア サービス プラットフォーム上に独自の仮想サーバーを作成できるようになったため、プライベート クラウド、パブリック クラウド、従来のインフラストラクチャ全体にわたる完全な可視性が必須となっています。ゲーリッヒ氏は、可視性の欠如は企業にとってより大きなセキュリティリスクを生み出すと述べた。

2. すべての資産には所有者が必要

ビジネスに 360 度の可視性が欠けている場合、所有権が欠如するリスクがあります。企業内のすべてのハイブリッド クラウド施設には所有者が必要です。

「IT セキュリティの重要な原則は、所有者が必要であり、各資産を識別し、その所有者にその資産に対する最小限の権限と職務の分離の責任を負わせることです」と Goerlich 氏は言います。 「可視性の欠如は所有権の欠如につながります。つまり、ハイブリッド クラウド環境ではアクセス制御が緩く定義されており、職務の分離が行われていないことがよくあります。権限が多すぎるとリスクが生じ、所有者がいないというリスクは対処されていないリスクです。」

3. ハイブリッドクラウド?ハイブリッドセキュリティを試す

IT は、企業にサービスを提供するだけでなく、企業の全体的なビジネス戦略を推進する役割を担うようになってきており、ハイブリッド クラウド モデルはこの変革を実現する手段となっています。同様に、現代の IT では、ハイブリッド セキュリティなどの古いセキュリティ モデルを再考する必要があります。

「セキュリティに関する戦略は進化し続けており、多くの企業がハイブリッドアプローチを採用して、セキュリティインフラストラクチャにさらに多くのレイヤーと深さを構築しています」と、Biscom の CEO である Bill Ho 氏は述べています。企業のセキュリティ テクノロジの一部はデータ センター内のオンプレミスに存在する場合がありますが、他のテクノロジは企業ネットワークの外部で実行する方が適切な場合があります。

「企業がデスクトップ ウイルス対策、DLP、ファイアウォール、IDS/IPS システムなどのセキュリティ ツールやアプリケーションを社内に導入する理由は数多くあります」と Ho 氏は説明します。これらの一部はクラウド サービスとして提供されますが、他の一部はクラウドにコンポーネントを持ち、アプリケーションはローカル データ センターで実行されます。 DDoS 攻撃の緩和に役立つサービスなど、一部のサービスはクラウドで処理するのが最適です。

4. セキュリティとコンプライアンス: つながっているが同じではない

「規制を遵守しなくても安心感は得られるが、セキュリティ上の問題がなければ規制を遵守できない可能性がある」とステフェン氏は語った。 「特にハイブリッド クラウド モデルに移行する場合は、セキュリティとコンプライアンスを混同しないでください。コンプライアンスは、クラウド セキュリティ戦略の重要な部分ですが、別の部分として考慮する必要があります。」

ハイブリッドまたはマルチクラウド環境におけるコンプライアンスは、クラウド導入の障壁となる必要はありません。実際、多くの内部統制は企業のクラウド環境に相互適用できます。ただし、企業にとっては、クラウド プロバイダーが使用する既存の制御と、それが企業の既存の制御システムとどのように関連しているかを理解することが重要です。 ”

「クラウドプロバイダーが使用する制御に準拠するには、手順を少し変更する必要があるかもしれません」とステフェン氏は付け加えた。 「しかし、それはまた、これまでのセキュリティ戦略の根本的な転換を意味する可能性もあります。クラウド プロバイダーまたはセキュリティ ベンダーを選択する前に、コンプライアンス制御評価を実行することが必須です。」

5. 御社のツールは他のベンダーと統合できますか?

「特定のクラウドプロバイダーと、彼らが使用しているセキュリティツールは、あなたが使用しているツールとどのように統合されるのでしょうか? うまく統合できるツールはたくさんありますが、使用しているセキュリティツールセットが外部と互換性がない場合、面倒なことになり、他のプラットフォームと連携するプラットフォームやツールを見つける必要があるかもしれません」とステフェン氏は語った。 「したがって、クラウド プロバイダーとセキュリティ ベンダーは、既存のオンプレミス プラットフォームおよびツールとの簡単な統合を提供する必要があります。」

6. 企業はサプライヤーを理解する必要がある

コンプライアンスと統合に関する Steffen のアドバイスは、ハイブリッド クラウド環境のセキュリティ保護は、使用するプラットフォームに関する知識と理解に大きく依存することを思い出させてくれます。

Biscom の CEO である Bill Ho 氏は、強力なクラウド コンピューティング ベンダーは、社内の IT セキュリティ チームに欠けている専門知識を実際に提供できると述べています。たとえば、ゼロデイ攻撃などの潜在的な脅威をリアルタイムで監視できるようになります。しかし、それは当然のことではありません。

「他のクラウドコンピューティングサービスと同様に、プロバイダーの資格を精査する必要がある」とホー氏は語った。 「認定資格を調査し、プロバイダーのポリシーを理解し、ネットワークを公開するリスクを理解し、SOC 2 Type II レポートなどのプロセス レポートを確認する必要があります。」

7. ハイブリッドモデルの拡張通信

「ハイブリッドクラウドは、通信に関するスケーラビリティの問題をもたらします」とゲーリッヒ氏は言う。 「繰り返しになりますが、これは可視性と所有権の欠如による副産物であり、マルチクラウドおよびマルチベンダー戦略を採用している組織では特に当てはまります。」

明確なコミュニケーションは、特に新たな脆弱性や攻撃インシデントが発生した場合に、強力なセキュリティ体制の重要な要素となります。これは、企業の IT リーダーが社内だけでなくベンダーやその他のサードパーティとも連携して適切に対処する必要がある領域です。

8. 継続的なリスク評価を実施する

最初からセキュリティ重視のハイブリッド クラウド環境を構築することは良い第一歩ですが、それはまだ第一歩にすぎません。 Goerlich 氏は、動的なハイブリッド クラウド環境を保護するには継続的なリスク評価が必要であると指摘しました。

「組織が脆弱性やセキュリティ上の問題を特定するもう一つの方法は、リスク評価を行うことです」とゲーリッヒ氏は言う。

彼は3つの例を挙げた。

• ベンダーリスク管理は継続的なデューデリジェンスのようなもので、「どのベンダーがどのサービスを提供しているかを明らかにし、それらのベンダーのセキュリティプログラムを照会することができます。」

• ソフトウェア構成分析により、「コード内のどのサードパーティ ライブラリが構築したアプリケーションに悪影響を及ぼす可能性があるかを特定できます。」

• 技術的な脆弱性評価と侵入テストにより、「現在のセキュリティ体制に関するさらなる洞察が得られます。組織が依存するハイブリッド クラウド テクノロジーの範囲と規模により、これをセグメント化された方法で実行する必要があります。」

安全な成長の維持

ハイブリッド クラウド戦略が拡大するにつれて、セキュリティ計画も進化する必要があります。

「何を持っているか、誰がそれを所有しているか、誰がそれにアクセスできるかを把握し、コミュニケーションのための明確なチャネルを確保し、それをセグメントに分割し、リスク評価を行う必要がある」とゲーリッヒ氏は述べた。 「一度に 1 つのことだけに取り組むことで、最も重要なテクノロジー、つまり主要なビジネス戦略と機能をサポートするテクノロジーに集中して成​​功することができます。ハイブリッド クラウドによって企業が利用するテクノロジーが拡大するにつれて、リーダーはセキュリティ分野での優先順位付けとコラボレーションも拡大する必要があります。」

【編集者のおすすめ】

  1. 内部データを徹底分析!グリーは実践を通して、知性への道を切り開く5つのステップを教えてくれます
  2. インテリジェント製造の動向を把握し、大企業はどのようにすれば適切なタイミングで適切な対応を行えるのでしょうか?
  3. サーバー仮想化の動向分析
  4. インテリジェント製造のトレンドにより、自動化業界は非常に有望ですか?
  5. 人工知能、モノのインターネット、ブロックチェーンが金融業界を変革する

<<:  Lingqiao Cloud はインテルから戦略的投資を受け、コンテナ PaaS の主導権を握るための取り組みを加速します。

>>:  「二つのクラウド」が論争を巻き起こし、中国のパブリッククラウド競争が激化

推薦する

quickweb-VPS半額/商人がどんなに気取った人でも、市場のルールには耐えられない

quickweb は 2009 年に設立されたニュージーランドの VPS 企業 (正式に登録され、商...

クラウドネイティブ時代の機会と課題: DevOps で打開する方法

クラウドネイティブ時代において、国内外の多くのクラウドベンダーが強力な技術的配当をリリースしています...

Vps.Net - 50% オフ (最大割引)

UK2傘下の有名なクラウドホスティングサービスプロバイダーであるVPS.NETは、現在最初の3か月間...

Pinduoduo のユーザー成長の岐路

1週間前、 Pinduoduoの財務報告が発表された後、市場はかなり混乱しました。ピンドゥオドゥオが...

Baidu Tiebaの遊び方

Baidu Tieba は Baidu 傘下の独立ブランドです。Tieba 設立の目的は、同業者間の...

効果的なアンカーテキスト外部リンクを見つける方法: フォーラム

一昨日、「外部リンクの最適化の重要性の過去と現在」の共有で、「効果的な外部リンク」という概念について...

「SEOトレーニング」について議論する シングルページサイトがSEOに影響を与える要因を考える

ここ数日、とても人気のあるウェブサイトがあります。それはRobinのシングルページウェブサイトです。...

パートタイムの仕事を始める前に SEO を学ぶのにどれくらい時間がかかりますか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますパートタイ...

ntup: ウクライナの無制限トラフィックサーバー、1Gbps、月額料金は 26 ドルから

ntup はウクライナの会社で、ウクライナのドニプロに独自のデータセンターを持っています。現在の主な...

360 Search Security Index がランキングの向上に役立つかどうかを確認します

検索エンジン市場では、誰もが知る業界リーダーである百度がトップの座を占めてきました。しかし、最近、新...

offshoreracks-パナマ著作権フリーのVPS、100%DMCAなし、著作権を完全に無視

offshoreracks は 2002 年に設立され、パナマに登録されています。独自のパナマ デー...

ウェブサイト運営者はどのようにしてウェブサイトを素早く診断できるのでしょうか?

ウェブサイトの運営で遭遇する問題は、誰にとっても最大の頭痛の種ですが、特に、ウェブサイトを最適化する...

データで語る: ウェブサイトのアクセス速度を遅くする一般的な解決策

ウェブサイトのアクセス速度の問題は、実際にはウェブマスターが考慮すべき最優先事項です。ウェブサイトの...

分類情報ウェブサイトの変革:Ganji と 58.com の将来は不透明

2005年にCraigslistを模倣して設立された2つの分類情報ウェブサイト、Ganji.comと...

外国貿易企業E

電子メール マーケティングは、その幅広い範囲と大規模なオーディエンスにより、今日でも多くの企業で使用...