ハイブリッドクラウドセキュリティの 5 つの主要戦略

[[228138]]

いくつかの業界記事では、IT リーダーが知っておく必要のあるハイブリッドクラウドセキュリティの基本 4 つが説明されています。以下はレビューです:

• 従来の境界セキュリティアプローチでは不十分

• 組織が直面する脅威は分散している

• 組織は最新のセキュリティツールと実践を必要としている

• 組織はクラウドコンピューティングプロバイダーとリスクを共有します

それでは、企業のセキュリティ戦略を調整する方法について詳しく説明し、これら 4 つのハイブリッドクラウドセキュリティの基本と関連する質問に対処するための専門家のアドバイスを検討してみましょう。

1. 適切な作業負荷を適切な環境に合わせる

ハイブリッドクラウドインフラストラクチャの最大の魅力の 1 つは、その柔軟性と拡張性です。 CIO は、データに対する制御を強化し、ビジネスニーズに合わせてより迅速に拡張し、運用を改善してコストを最適化できます。

同じことがハイブリッドクラウドセキュリティ戦略にも当てはまります。つまり、どの環境がどのデータに適しているかを決定します。異なるデータに関連するリスクを後回しにしないでください。

「『クラウドファースト』は、クラウドコンピューティングが唯一の選択肢であることを意味するものではない」とSASの最高情報セキュリティ責任者、ブライアン・ウィルソン氏は語った。「一部の操作はオンプレミスのままにできます。」彼は、決定要因にはデータの種類、データの量、データアクセス要件が含まれると指摘した。

「特定のセキュリティニーズが、選択した環境で利用可能なセキュリティ機能と一致するようにするには、適切なワークロードを適切なクラウド環境と一致させる必要があります」と、Flexential の最高製品責任者である Michael Fuhrman 氏は述べています。

これには、会社の特定の要件が満たされていることを保証するために、サプライヤーの能力を深く理解することが必要です。 SAS のウィルソン氏は、SAML (Security Assertion Markup Language) の例とクラウドプロバイダーに対する要件について次のように述べました。

「SAML で連携できない場合は、顧客と取引することはできません」とウィルソン氏は語った。「顧客は、従業員が退職したときに管理者の資格情報を提供したり、複数の場所でアカウントを無効にしたりすることを望んでいません。」

2. 境界防御からアイデンティティ管理への進化

従来の境界が曖昧になるにつれ、セキュリティの専門家は「境界」から「アイデンティティ」に焦点を移すことを提案しています。

「企業がハイブリッドクラウドを導入する中で、最も役立つセキュリティ戦略は、アイデンティティの境界を再定義することです」と、Cyxtera の副社長 David Emerson 氏は述べています。「アイデンティティはこれまで以上に重要であり、企業全体および多数のインフラストラクチャにわたるシステムへのアクセスを許可するために正確かつ精密に使用されることを保証するために、複数の要素を使用して使用する必要があります。」

このような長年のセキュリティ原則はここでも適用され、ハイブリッド環境では新たな重要性を帯びます。つまり、個人は、業務を遂行するために必要なデータ、権限、環境にのみアクセスできる必要があります。それ以上になると、不必要なリスクが生じます。

ジュニパーネットワークスのグローバルセキュリティ戦略ディレクターであるローレンス・ピット氏も、アイデンティティおよびアクセス管理 (IAM) が強力なハイブリッドクラウドセキュリティの重要な戦略の 1 つであると指摘しました。

「企業は、誰がシステムやデータにアクセスしているかを把握する必要があり、ユーザーIDアクセス管理を確立し、クラウドアプリケーションセキュリティブローカー（CASB）と2要素認証を使用してアプリケーションアクセスを制御する必要がある」とピット氏は述べた。「いつでもどこでもアクセスできる必要があり、データ漏洩のリスクを軽減するためには、異常なアクティビティに対して迅速に警告を受けることが重要です。」

これは、組織の従来のオンプレミスセキュリティツールを廃棄する必要があると言っているわけではありません。むしろ、新しい組み合わせが必要になります。専門家は、企業認証の一部としてシングルサインオン (SSO) を推奨することがよくあります。上記の SAML は SSO を有効にする 1 つの方法です。

SAS のウィルソン氏は、ハイブリッドおよびマルチクラウド環境の利点について次のように説明しています。「SAML により、顧客のデータが管理可能になり、それは顧客次第です。」とウィルソン氏は言います。「顧客として、クラウドサービスプロバイダーに、いつ、何を実行できるかを通知する責任があります。正確な情報を提供するには、企業が強固な ID、アカウント管理、ガバナンス戦略を持っている必要があります。」

3. 可視性と所有権を確保する

もう 1 つの重要な戦略: 企業がハイブリッドインフラストラクチャを 360 度把握できるようにするためのツールとポリシーを開発します。「ハイブリッドクラウドの導入によって盲点が生じた場合、それはクラウドのギャップ、あるいは潜在的なギャップとなります」と、ラドウェアのオペレータ戦略およびビジネス開発担当副社長、マイク・オマリー氏は述べています。

「ハイブリッドクラウド環境のセキュリティを確保するには、ITリーダーはネットワーク全体にわたる完全な可視性と、異なる環境全体でセキュリティポリシーを適用できる統合ソリューションを必要としている」とオマリー氏は述べた。

すべての資産と環境の所有権は重要です。「各資産には指定の所有者が必要であり、職務は分離できる」とジュニパーのピット氏は語った。「たとえば、あるチームがサーバープラットフォームを担当し、別のチームが OS パッチのコンプライアンスの確保を担当している場合でも、明確な所有権がなければ、それらのリスクに対処できない可能性があります。」

4. 必要な技術的・文化的変化を考慮する

Cavirin のエンジニアリング担当副社長である Brajesh Goyal 氏は、セキュリティを強化するための技術戦略の良い例として自動化を指摘しました。これは、ハイブリッドクラウドとパートナーコンテナーの分散性と絶えず変化する性質を保護する上で大きな可能性を秘めています。

しかし、ハイブリッドクラウドのセキュリティは、テクノロジーの変化と同様に文化の変化にも大きく左右される可能性があります。セキュリティがパイプラインとプロセスの最後のステップである場合、または攻撃が発生した後に実装される場合、企業はセキュリティを業務運営に統合する方法を検討する必要があります。ソフトウェア開発プロセスと同様に、自動化とクラウドネイティブのセキュリティ技術も適切に実行する必要があります。

一部の組織では、これは DevOps から始まります。「理想的には、組織は自動化を通じてクラウドのベストプラクティスを促進し、継続的なセキュリティモデルを通じてDevSecOps文化の転換を促進する新しいツールを導入すべきだ」とゴヤル氏は述べた。

「DevSecOps に関連する文化的変化を過小評価せず、仕事の初期段階からセキュリティを組み込むべきだ」と、Red Hat のチーフセキュリティアーキテクトである Mike Bursell 氏は言います。彼は、警備員と他の従業員の間には文化的な隔たりがあると書いた。「セキュリティ担当者は、安全であることが何を意味するかを知っています。彼らはトレーニングを受け、会議に出席し、記事を読み、経験を積んでおり、すべてが安全でなければならないことは明らかです。セキュリティ担当者が設計、実装、運用プロセスに完全に関与していない場合、セキュリティはしばしば「オフ」を意味します。」

「一方、他の人たちは、一般的には物事をうまく機能させたいだけだ」と彼は語った。「あらゆるプロジェクトにおいて、最初から最後まで安全性が最優先の要件でない限り、これら 2 つの視点には根本的な違いがあります。」

5. 徹底的な（そしておそらく遅れていた）監査を実施する

ここで言及する価値のある一般的なテーマがあります。それは、ハイブリッドクラウドによって企業のセキュリティ体制を改善できるということです。もちろん、これは自動的に起こるわけではありません。

しかし、これは良いスタートです。ハイブリッドクラウドインフラストラクチャを採用することは、いずれにしても時代遅れになっている可能性のあるセキュリティツールとプラクティスを全面的に見直すための素晴らしい口実となります。代わりに、セキュリティは企業のハイブリッドクラウド戦略に組み込まれたコンポーネントとして考慮する必要があります。

「クラウドへの移行は、企業にとってセキュリティ対策を見直し、新しいサービスや高度なサービスを実装して、企業のパフォーマンスと態勢を改善する機会となる」とピット氏は述べた。「多くの企業は長年同じツールを使用してきましたが、クラウドの導入は将来を見据えて機能と構成を見直す機会となります。」