ハイブリッドクラウドセキュリティの基礎: 知っておくべき 4 つのこと

[[227650]]

他の大規模な IT 変更と同様に、ハイブリッドクラウドモデルを導入するには、企業がセキュリティ対策を再検討する必要があります。ハイブリッドクラウドが適切に実装されれば、企業のセキュリティ向上に役立ちます。複数のクラウドコンピューティング環境にはそれぞれ独自の利点と付随するコストがあり、その柔軟性により、IT リーダーは、プライベートクラウドとパブリッククラウドの両方の大きな可能性を活用しながら、特定の種類の機密データや重要なデータをオンプレミスで保持できるようになります。

ただし、セキュリティは企業の全体的なハイブリッドクラウド戦略の目に見える部分である必要があります。そうでないと、リスクを軽減するための適切な手順を踏まないと、新たなリスクが導入される可能性があります。

「ハイブリッドクラウドインフラストラクチャが新しいビジネスの現実の一部であることは否定できません」と、Unbound の R&D 担当副社長兼共同創設者である Guy Peer 氏は述べています。「その結果、企業の IT リーダーは、まだハイブリッドクラウドセキュリティを優先していない場合は、優先する必要があります。」

ここでは、企業の IT リーダーがハイブリッドクラウドセキュリティについて理解し、組織内の他のユーザーに「ハイブリッドクラウドセキュリティ 101」として説明できる必要がある主要な問題について説明します。また、これらの問題を管理するための戦略的な問題と、企業のハイブリッドクラウドセキュリティ体制を強化する方法についても説明します。

企業が直面しているハイブリッドクラウドのセキュリティに関する 4 つの主要な問題:

1. 境界セキュリティ対策が不十分

つまり、企業がオンプレミスや従来のデータセンターインフラストラクチャだけでなく、プライベートクラウド環境とパブリッククラウド環境を含むハイブリッドモデルを採用する場合、企業ネットワーク境界を保護するための従来のツールと戦略ではもはや不十分です。

「IT リーダーは、これまで慎重に定義し維持してきたネットワーク境界だけではもはや十分ではないことを理解する必要がある」と、Cyxtera の副社長兼最高情報セキュリティ責任者である David Emerson 氏は言う。「ハイブリッドクラウドは、エンタープライズインフラストラクチャの新たな標準になりつつあり、企業は変化に抵抗したり従来のセキュリティ対策に固執したりするのではなく、適応する必要があります。」

ハイブリッドクラウドアーキテクチャが一般的になるにつれて、境界が拡大し、大幅に変化するため、IT プロフェッショナルは境界セキュリティへのアプローチを再構築する必要があります。

「ほとんどの企業は、オンプレミスと、異なるパブリッククラウドまたはプライベートクラウド上の複数のクラウドワークロードを組み合わせて使用することになるだろう」とアンバウンドのピア氏は述べた。「このような環境では、境界を安全に保つことはおそらくより困難になるでしょう。」

2. 企業の脅威は今や広範囲に分散している

従来の境界セキュリティがハイブリッドクラウドインフラストラクチャで不十分な根本的な理由は、企業が従来のオンプレミスインフラストラクチャ、プライベートクラウド、パブリッククラウドにまたがるさまざまな環境でワークロードを実行していることです。柔軟性はハイブリッドクラウドの大きな魅力の 1 つであるため、企業は変化するビジネスおよびテクノロジーのニーズに基づいて、これらの異なる環境間でデータを移動することもできます。

「攻撃対象領域は現在、分散され、無限であり、常に変化している」とカビリンのエンジニアリング担当副社長、ブラジェシュ・ゴヤル氏は語る。

つまり、さまざまな環境にわたってデータのセキュリティを確保するには、新しいアプローチとベストプラクティスが必要になります。セキュリティパッチやアップデートなどの従来のプロセスを組織が処理する方法も、再検討する必要があります。 Red Hat のチーフアーキテクトである Matt Smith 氏が最近指摘したように、ハイブリッド時代にアップデートをインテリジェントに処理したいと考えている企業にとって、自動化は重要な役割を果たします。

ハイブリッドアーキテクチャ内の環境の種類 (および潜在的なプロバイダー) ごとに、セキュリティに関する考慮事項とリスクが異なります。企業はもはや統一されたインフラストラクチャを使用していないため、ハイブリッドクラウドセキュリティに対する統一されたアプローチは存在しません。

「IT リーダーは、ワークロードの内容やそれが置かれている環境に応じてセキュリティのニーズが異なることを認識する必要がある」と、Flexential の最高製品責任者 Michael Fuhrman 氏は語る。「そして、『万能』戦略を採用しても、企業のワークロードを適切に保護するのに効果的ではありません。」

これは本質的に、あらゆる大規模な IT 変更に伴うコストと利益のトレードオフです。

以下は、ジュニパーネットワークスのグローバルセキュリティ戦略ディレクターであるローレンスピット氏による簡単な例です。「ハイブリッドクラウドが提供する規模と柔軟性により、ユーザーは複数の環境にアクセスできるようになりますが、これにより、企業の IT セキュリティポリシーでは表示または管理できない「シャドー IT」サーバーを IaaS 上に開発する部門のリスクも生じます」と彼は説明します。

企業全体のセキュリティ戦略をハイブリッドクラウド戦略と整合させる際には、これらの考慮事項を常に念頭に置いてください。

3. 新しいツール、プロセス、ポリシーについて考える

つまり、ハイブリッドクラウドモデルを採用する企業には新しいセキュリティツールとプラクティスが必要であり、セキュリティ戦略全体を捨てるのではなく、修正する必要があるのです。

「組織は、オンプレミスとクラウドの両方で、すべてのインフラ投資にわたって健全なセキュリティ体制を実現するために、新しいツール、戦略、考え方を取り入れる必要がある」とゴヤル氏は述べた。

たとえば、ハイブリッド展開の時代では、さまざまなインフラストラクチャの統合管理とリソース共有が重要になります。 Red Hat のテクニカルエバンジェリストである Gordon Haff 氏は、「組織がまだパブリッククラウドリソースを使用していない場合でも、複数のインフラストラクチャプラットフォーム (仮想化など) を実行するという意味ですでにハイブリッドになっている可能性があり、ハイブリッドクラウド管理はこれらを単一の管理インターフェイスの下に統合するのに役立ちます」と述べています。同氏は、「統合管理により、IT 部門は、割り当て、容量計画、課金のために、さまざまな地理的場所に分散された仮想化リソースを統合的に把握できるようになります」と指摘しました。

おそらく、企業はすでに、開発プロセスの早い段階でセキュリティに重点を置く DevOps の作業方法に合わせてセキュリティプロセスを適応させているでしょう。これは、多くの場合、DevSecOps と呼ばれます。

ハイブリッドクラウドの採用の増加と、コンテナーやマイクロサービスなどの関連トレンドが、DevSecOps への関心が高まっている主な理由です。

これは、継続的デリバリーと継続的インテグレーション、そして分散化が進む環境とアーキテクチャの時代には、セキュリティに対する新しいアプローチが必要であることを IT リーダーが認識したことによる、DevOps 文化の論理的な進化です。

4. 「逆転」を狙う考え方には注意

IT リソースが限られている、または IT リソースがまったくない中小企業にとって、クラウドプロバイダーを盲目的に信頼することは懸念事項となる可能性があります。

一方、CIO やその他の IT リーダーは、リスクの分散または共有とリスクの完全なオフロードを混同する誘惑を避ける必要があります。

「ハイブリッドクラウドを導入する際の最大のリスクは、企業がそれをセキュリティの要とみなし、クラウドプロバイダーが継続的な保護とコンプライアンスを確保するためのセキュリティ基準を整備していると信頼していることだ」とジュニパーのピット氏は述べた。

クラウドプロバイダーが何らかのリスクを軽減するサービスを提供しているからといって、そのリスクに対処するための措置を実際に講じているわけではありません。「これは、企業がベンダーに管理の責任を負わせるために努力する必要があることを意味します」とSASのCISO、ブライアン・ウィルソン氏は語った。「企業は、ベンダーが暗号化されていないデータにアクセスできないことをどうやって知るのでしょうか。追加料金を支払ったり、企業がクラウドアクセスセキュリティブローカー (CASB) を経由したりすることなく、これが可能であることを企業は確認できるでしょうか。これらの詳細が契約書に明記されていることを確認し、それらの契約書とベンダーポリシーを定期的に確認してください。」

これはハイブリッドクラウドセキュリティの基盤としては見落とされがちなので、注意を払い、組織内の他の人に説明する方法を知っておく必要があります。アプリケーションレベルに至るまで、多くの問題があります。

「さまざまなクラウドコンピューティング環境でデータとアプリケーションがどのように保護されているかを監視し続ける必要がある」とピット氏は述べた。「ハイブリッド環境やマルチクラウド環境であっても、依然としてリスクは存在します。」