ハイブリッドクラウドを安全にする方法: IT プロフェッショナルが知っておくべきこと

ハイブリッドクラウドを安全にする方法: IT プロフェッショナルが知っておくべきこと

企業のハイブリッド クラウド環境を保護するのは簡単ではありません。 SANS アナリストが、パブリック クラウドとプライベート クラウド間のインターフェイスでセキュリティを向上させる理由と方法について説明します。

企業にとって、データとソフトウェア プラットフォームをクラウドに移行することは、どちらか一方を選択するということではありません。一部の企業の IT 部門では、社内のプライベート クラウドとサードパーティのパブリック クラウド サービスを組み合わせて実行する方法を検討し、学習しています。企業のコンピューティングのニーズとコストが変化すると、ハイブリッド クラウド プラットフォームを作成することで、ワークロードをプライベート クラウドとパブリック クラウド間で移動できるようになり、企業の柔軟性が向上し、データ展開のオプションが増えます。

ハイブリッド クラウドには独自の利点と欠点があります。ハイブリッド クラウドは技術者に利便性と適応性を提供しますが、それには一定のコストが伴います。セキュリティ チームは、企業データと、多くの場合、複数の環境にまたがる独自のプロセスを保護する必要があります。

Voodoo Security の主席コンサルタントであり SANS のアナリストでもある Dave Shackleford 氏は、SANS のホワイト ペーパー「ハイブリッド クラウドのセキュリティ保護: 従来のツールと新しいツールおよび戦略」でこれらの問題に対処することにしました。

「ハイブリッドクラウドモデルを採用する組織が増えるにつれ、社内のセキュリティ管理とプロセスをパブリッククラウドサービスプロバイダーの環境に適応させる必要が出てくるだろう」とシャックルフォード氏は書いている。 「まず、企業はリスク評価と分析の実践を更新し、リストされた項目を継続的に見直す必要があります。」

これらのプロジェクトは以下のとおりです。

  • クラウド プロバイダーのセキュリティ制御、機能、コンプライアンス ステータス
  • 社内開発およびオーケストレーションツールとプラットフォーム
  • 運用管理および監視ツール
  • オンプレミスとクラウドのセキュリティツールとコントロール

両社は、ホワイトペーパーの中で、クラウドのセキュリティに対する最終的な責任が企業かクラウド コンピューティング プロバイダーのどちらにあるかはまだ決めていない。

Shackleford は、クラウド コンピューティング サービス プロバイダーとその顧客間の責任共有をサポートしています。 Shackleford 氏は、クライアントに対してセキュリティ チームが以下のことを行う必要があると述べています。

  • 現在使用されているセキュリティ制御を完全に理解する。
  • ハイブリッド クラウド環境で正常に動作するために、どのセキュリティ制御を変更する必要があるかをより深く理解します。

その理由について、シャックルフォード氏は次のように説明した。「一部のセキュリティ制御はオンプレミスと同じようには機能しないか、クラウド サービス プロバイダー環境では機能しないことがほぼ確実です。」

ITチームが確認すべき内部プロセス

Shackleford は、次の内部プロセスを調べることを推奨しています。

構成の評価: Shackleford 氏は、セキュリティに関しては次の構成が特に重要であると述べています。

  • オペレーティング システムのバージョンとパッチ レベル
  • ローカルユーザーとグループ
  • キーファイルの権限
  • 強化されたネットワークサービスが稼働中

脆弱性スキャン: Shackleford は、システムを継続的にスキャンし、インスタンスのライフサイクル中に見つかった脆弱性を報告することを推奨しています。スキャンと結果の評価に関しては、ハイブリッド クラウド環境では通常、次のいずれかのアプローチが使用されると Shackleford 氏は指摘しました。

  • 従来の脆弱性スキャナーの一部ベンダーは、クラウド プロバイダー環境で動作するように自社製品を適応させており、多くの場合、スケジュールに従ってまたはアドホックに、より侵入的なスキャンを実行するための手動リクエストを回避するために API に依存しています。
  • ホストベースのエージェントを利用することで、それぞれの仮想マシンを継続的にスキャンできます。

セキュリティ監視: ハイブリッド クラウド環境は、ほとんどの場合、仮想化されたマルチテナント サーバー上に存在するため、ユーザーごとに攻撃を監視することが困難になります。 「仮想インフラストラクチャの監視は、VM/コンテナ、仮想スイッチ、ハイパーバイザー、物理ネットワークなど、いくつかの場所のいずれかで行われます」とShackleford氏は書いている。 「ほぼすべてのクラウド環境で、実際にアクセスできるのは、クラウド プロバイダーが提供する VM/コンテナまたはソフトウェア定義ネットワークだけです。」

「監視ツールを構築する際の考慮事項には、ネットワーク帯域幅、専用接続、データの集約/分析方法が含まれます」とシャックルフォード氏は続けた。 「クラウド インスタンス内のサービス、アプリケーション、オペレーティング システムによって生成されたログとイベントは、自動的に収集され、中央の収集プラットフォームに送信される必要があります。」

Shackleford 氏は、自動リモート ロギングに関しては、ほとんどのセキュリティ チームが適切なログを収集し、それを安全な中央ロギング サービスまたはクラウドベースのイベント管理プラットフォームに送信し、SIEM や分析ツールを使用して綿密に監視することをすでに理解していると考えています。

シャックルフォード氏によると、監視には何らかの制限が必要だという。彼は以下のことが優先されるべきだと考えています。

  • 異常なユーザーログインまたはログイン失敗
  • クラウド環境への大量のデータのインポートまたはエクスポート
  • 特権ユーザーのアクティビティ
  • 承認されたシステムイメージの変更
  • 暗号化キーへのアクセスと変更
  • 権限とID構成の変更
  • ログ記録と監視の構成の変更
  • クラウドプロバイダーとサードパーティの脅威インテリジェンス

サイロとポイントソリューションは問題である

人々はサービスや製品を採用するのが大好きです。同じ理由で、Shackleford 氏は、さまざまなベンダーや環境にわたって柔軟性を提供する単一ベンダーまたはクラウド ネイティブのオプションを避けることを強く推奨しています。

「一部のベンダーの製品は特定の環境でしか動作せず、ほとんどのクラウドベンダーの組み込みサービスは自社のプラットフォームでしか動作しません」と彼は説明した。 「このサイロ現象は、ビジネスニーズによって組織がマルチクラウド戦略を実装する必要があり、準拠したセキュリティ制御の再導入が必要になる場合に深刻な問題を引き起こす可能性があります。」

シフトレフトセキュリティ

Shackleford 氏は、シフトレフト セキュリティの強力な支持者です。これは、実現が難しい単純な概念ですが、セキュリティの考慮事項を製品開発段階に移すという考え方です。 「言い換えれば、セキュリティは開発と運用の実践およびインフラストラクチャ(SecDevOps または DevSecOps と呼ばれることもある)と真に統合されている」と Shackleford 氏は書いている。 「セキュリティおよび DevOps チームは、承認されたアプリケーションやオペレーティング システム構成のライブラリなど、多くの領域について IT 組織標準を定義し、公開する必要があります。」

最終警告

Shackleford 氏は、通常のデューデリジェンスに加えて、データやプロセスをパブリック クラウドに移行する前に、既存のすべての制御とプロセスの包括的なレビューを完了してベースラインを形成することを企業に推奨しています。 「これにより、企業は関連するデータを適切に保護し、パブリッククラウド環境で同等のセキュリティ機能を探す機会が得られます」とシャックルフォード氏はアドバイスする。 「セキュリティ チームと運用チームは断片化していることが多く、1 つ以上のクラウド プロバイダー環境にわたって複数の管理および監視ツールを管理することはできないため、オンプレミスとクラウドの両方の資産を 1 か所で管理できるツールを探してください。」

<<:  みんなが話題にしているこの分散システムとは、いったい何なのでしょうか?

>>:  企業は、ニーズに基づいて最適なクラウド ストレージ プロバイダーをどのように選択できるでしょうか?

推薦する

SEOにおけるnofollowタグの属性と機能の包括的な分析

この記事では、nofollow タグの使い方と書き方を 5 つの知識ポイントから総合的に分析します。...

ウェブサイトデザイン分析: UI が従うべき 3 つの主要なウェブサイトデザイン原則

テクノロジーが進化するにつれて、Web デザインの技術も進化します。新しいテクノロジーは新しい課題を...

vpsdimeはどうですか? Dallas VPS レビュー、Netflix/TikTok のブロックを解除

vpsdimeはどうですか? vpsdime Dallasはどうですか? vpsdimeのコアデータ...

企業がコンテナセキュリティについて知っておくべきこと

コンテナは、テスト環境などの新しい環境でソフトウェアを実行するための一般的なソリューションです。アプ...

2022 年のクラウド コンピューティングの 8 つのトレンド: 過剰支出、セキュリティ、ワークロード

平均的な企業がパブリック クラウドに 120 万ドルから 600 万ドルを費やしていることから、中小...

教育用分類情報ウェブサイトを促進するための代替思考

この記事は、黄家朗による教育インターネット マーケティング シリーズの 2 回目です。分類情報 We...

Baidu の重量をチェックするウェブサイトが多すぎます。どれを信頼すればよいでしょうか?

Baidu ウェイトはしばらく前からリリースされており、誰もが自分のウェブサイトの Baidu ウェ...

SUSEとSAPが協力してデジタル変革を実現

最近、「エコロジカルイノベーションの結集と産業変革の先導」をテーマにした2021年SAPジョイントイ...

ウェブマスターに優しいリンク交換は、一石二鳥の効果的な方法です

友好的なリンクの交換は、すべてのウェブマスターが必然的に遭遇するものです。ウェブマスターは、リンク交...

DockerのエントリポイントとCMDの違い

Docker の Entrypoint と Cmd はどちらも、コンテナの起動時に実行されるコマンド...

毎日のトピック: 垂直B2C変革は冬に課題に直面

春節が近づいていますが、垂直型電子商取引企業にとっては難しい年です。 2012年を通じて、電子商取引...

大規模トラフィッククラスター向けコンテンツ運用

前回の記事では、サイトクラスターを構築するための非常に重要な準備、つまり、サイトクラスターを業界内で...

レノボ、高級携帯電話市場参入を計画:安っぽいイメージは変えられるか?

レノボがすでに国内のPC市場で確固たる地位を築き、優位な地位を確立していることは周知の事実です。ハー...

SEOは簡単ですか?

SEOをうまく行うことと運営を成功させることの間には長い道のりがある数日前、Dianshi の友人が...