ハイブリッドクラウドを安全にする方法: IT プロフェッショナルが知っておくべきこと

ハイブリッドクラウドを安全にする方法: IT プロフェッショナルが知っておくべきこと

企業のハイブリッド クラウド環境を保護するのは簡単ではありません。 SANS アナリストが、パブリック クラウドとプライベート クラウド間のインターフェイスでセキュリティを向上させる理由と方法について説明します。

企業にとって、データとソフトウェア プラットフォームをクラウドに移行することは、どちらか一方を選択するということではありません。一部の企業の IT 部門では、社内のプライベート クラウドとサードパーティのパブリック クラウド サービスを組み合わせて実行する方法を検討し、学習しています。企業のコンピューティングのニーズとコストが変化すると、ハイブリッド クラウド プラットフォームを作成することで、ワークロードをプライベート クラウドとパブリック クラウド間で移動できるようになり、企業の柔軟性が向上し、データ展開のオプションが増えます。

ハイブリッド クラウドには独自の利点と欠点があります。ハイブリッド クラウドは技術者に利便性と適応性を提供しますが、それには一定のコストが伴います。セキュリティ チームは、企業データと、多くの場合、複数の環境にまたがる独自のプロセスを保護する必要があります。

Voodoo Security の主席コンサルタントであり SANS のアナリストでもある Dave Shackleford 氏は、SANS のホワイト ペーパー「ハイブリッド クラウドのセキュリティ保護: 従来のツールと新しいツールおよび戦略」でこれらの問題に対処することにしました。

「ハイブリッドクラウドモデルを採用する組織が増えるにつれ、社内のセキュリティ管理とプロセスをパブリッククラウドサービスプロバイダーの環境に適応させる必要が出てくるだろう」とシャックルフォード氏は書いている。 「まず、企業はリスク評価と分析の実践を更新し、リストされた項目を継続的に見直す必要があります。」

これらのプロジェクトは以下のとおりです。

  • クラウド プロバイダーのセキュリティ制御、機能、コンプライアンス ステータス
  • 社内開発およびオーケストレーションツールとプラットフォーム
  • 運用管理および監視ツール
  • オンプレミスとクラウドのセキュリティツールとコントロール

両社は、ホワイトペーパーの中で、クラウドのセキュリティに対する最終的な責任が企業かクラウド コンピューティング プロバイダーのどちらにあるかはまだ決めていない。

Shackleford は、クラウド コンピューティング サービス プロバイダーとその顧客間の責任共有をサポートしています。 Shackleford 氏は、クライアントに対してセキュリティ チームが以下のことを行う必要があると述べています。

  • 現在使用されているセキュリティ制御を完全に理解する。
  • ハイブリッド クラウド環境で正常に動作するために、どのセキュリティ制御を変更する必要があるかをより深く理解します。

その理由について、シャックルフォード氏は次のように説明した。「一部のセキュリティ制御はオンプレミスと同じようには機能しないか、クラウド サービス プロバイダー環境では機能しないことがほぼ確実です。」

ITチームが確認すべき内部プロセス

Shackleford は、次の内部プロセスを調べることを推奨しています。

構成の評価: Shackleford 氏は、セキュリティに関しては次の構成が特に重要であると述べています。

  • オペレーティング システムのバージョンとパッチ レベル
  • ローカルユーザーとグループ
  • キーファイルの権限
  • 強化されたネットワークサービスが稼働中

脆弱性スキャン: Shackleford は、システムを継続的にスキャンし、インスタンスのライフサイクル中に見つかった脆弱性を報告することを推奨しています。スキャンと結果の評価に関しては、ハイブリッド クラウド環境では通常、次のいずれかのアプローチが使用されると Shackleford 氏は指摘しました。

  • 従来の脆弱性スキャナーの一部ベンダーは、クラウド プロバイダー環境で動作するように自社製品を適応させており、多くの場合、スケジュールに従ってまたはアドホックに、より侵入的なスキャンを実行するための手動リクエストを回避するために API に依存しています。
  • ホストベースのエージェントを利用することで、それぞれの仮想マシンを継続的にスキャンできます。

セキュリティ監視: ハイブリッド クラウド環境は、ほとんどの場合、仮想化されたマルチテナント サーバー上に存在するため、ユーザーごとに攻撃を監視することが困難になります。 「仮想インフラストラクチャの監視は、VM/コンテナ、仮想スイッチ、ハイパーバイザー、物理ネットワークなど、いくつかの場所のいずれかで行われます」とShackleford氏は書いている。 「ほぼすべてのクラウド環境で、実際にアクセスできるのは、クラウド プロバイダーが提供する VM/コンテナまたはソフトウェア定義ネットワークだけです。」

「監視ツールを構築する際の考慮事項には、ネットワーク帯域幅、専用接続、データの集約/分析方法が含まれます」とシャックルフォード氏は続けた。 「クラウド インスタンス内のサービス、アプリケーション、オペレーティング システムによって生成されたログとイベントは、自動的に収集され、中央の収集プラットフォームに送信される必要があります。」

Shackleford 氏は、自動リモート ロギングに関しては、ほとんどのセキュリティ チームが適切なログを収集し、それを安全な中央ロギング サービスまたはクラウドベースのイベント管理プラットフォームに送信し、SIEM や分析ツールを使用して綿密に監視することをすでに理解していると考えています。

シャックルフォード氏によると、監視には何らかの制限が必要だという。彼は以下のことが優先されるべきだと考えています。

  • 異常なユーザーログインまたはログイン失敗
  • クラウド環境への大量のデータのインポートまたはエクスポート
  • 特権ユーザーのアクティビティ
  • 承認されたシステムイメージの変更
  • 暗号化キーへのアクセスと変更
  • 権限とID構成の変更
  • ログ記録と監視の構成の変更
  • クラウドプロバイダーとサードパーティの脅威インテリジェンス

サイロとポイントソリューションは問題である

人々はサービスや製品を採用するのが大好きです。同じ理由で、Shackleford 氏は、さまざまなベンダーや環境にわたって柔軟性を提供する単一ベンダーまたはクラウド ネイティブのオプションを避けることを強く推奨しています。

「一部のベンダーの製品は特定の環境でしか動作せず、ほとんどのクラウドベンダーの組み込みサービスは自社のプラットフォームでしか動作しません」と彼は説明した。 「このサイロ現象は、ビジネスニーズによって組織がマルチクラウド戦略を実装する必要があり、準拠したセキュリティ制御の再導入が必要になる場合に深刻な問題を引き起こす可能性があります。」

シフトレフトセキュリティ

Shackleford 氏は、シフトレフト セキュリティの強力な支持者です。これは、実現が難しい単純な概念ですが、セキュリティの考慮事項を製品開発段階に移すという考え方です。 「言い換えれば、セキュリティは開発と運用の実践およびインフラストラクチャ(SecDevOps または DevSecOps と呼ばれることもある)と真に統合されている」と Shackleford 氏は書いている。 「セキュリティおよび DevOps チームは、承認されたアプリケーションやオペレーティング システム構成のライブラリなど、多くの領域について IT 組織標準を定義し、公開する必要があります。」

最終警告

Shackleford 氏は、通常のデューデリジェンスに加えて、データやプロセスをパブリック クラウドに移行する前に、既存のすべての制御とプロセスの包括的なレビューを完了してベースラインを形成することを企業に推奨しています。 「これにより、企業は関連するデータを適切に保護し、パブリッククラウド環境で同等のセキュリティ機能を探す機会が得られます」とシャックルフォード氏はアドバイスする。 「セキュリティ チームと運用チームは断片化していることが多く、1 つ以上のクラウド プロバイダー環境にわたって複数の管理および監視ツールを管理することはできないため、オンプレミスとクラウドの両方の資産を 1 か所で管理できるツールを探してください。」

<<:  みんなが話題にしているこの分散システムとは、いったい何なのでしょうか?

>>:  企業は、ニーズに基づいて最適なクラウド ストレージ プロバイダーをどのように選択できるでしょうか?

推薦する

主流の検索エンジンの原則

今日は検索エンジンの原理を紹介します。まずは写真を見てみましょう…次に、階層ごとに説明します。 1....

ウェブサイトページのSEO最適化ページタイトルの最適化

SEO 最適化では、タイトルの最適化が重要な役割を果たします。ユーザー エクスペリエンスの観点から見...

海外VPSのおすすめ:登録不要のVPS、実名不要のVPS

登録が不要な VPS の中で、本当に信頼できるのは、香港 VPS、台湾 VPS、日本 VPS、韓国 ...

エンタープライズ Web サイトの最適化の利点は何ですか?注意すべき点

インターネットの発展に伴い、多くの企業がウェブサイト構築に参入してきました。しかし、単にウェブサイト...

Zhaopin.comのIPO:内部紛争を乗り越え、宴会後に涙を流す

[要約] Zhaopin.com は投資家に想像の余地を与えることができず、その将来の市場価値は暗く...

ウェブサイトマーケティングのための鋭い剣を作る:ブログマーケティング

ウェブサイトマーケティングのための鋭い剣を作る:ブログマーケティング今日では、ブログ マーケティング...

「Go China」のユーザー体験を読み解くことで、BaiduのPVが急上昇した理由を探る

今月26日夜、百度は「2012年終末」キャンペーンに続き、オリンピック向けのユニークで革新的な機能を...

アリババの音声AIが「世界の画期的技術トップ10」に選ばれ、中国企業もリスト入り!

2月28日、アリババの音声AI技術がMITの2019年「世界トップ10の画期的技術」の1つに選ばれま...

何もすることがないので、ASO最適化のための8つの戦略を紹介します

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますASOはど...

検索エンジンは変化しているが、変わらないものもある

過去 2 年間で、私たちウェブマスターに最も大きな影響を与えたのは、「検索エンジンの頻繁なアップデー...

ウェブサイトユーザーの直帰率を下げるには?問題解決に役立つ5つのヒント

ウェブサイトのプロモーションの目的は、単にユーザーを誘導して閲覧してもらうという単純なプロセスではあ...

prometeus-384M メモリ/12g SSD/2T トラフィック/ダラス/年間 28 ドル

正しくお読みいただけました。Prometeus は米国のデータセンターでテストを行っています。公式発...

V5.Net: 香港独立サーバー、月額292元から、荃湾データセンター/直接接続最適化、e3-1230/16gメモリ/480gSSD/30M帯域幅

v5.net は現在、香港の荃湾データセンターの独立サーバーに対して 45% オフの定期プロモーショ...

降格を冷静に受け止め、積極的に是正し回復する

多くのSEO担当者が朝起きて最初にすることは、最適化したサイトのランキング、インクルージョン、外部リ...

香港の高防御サーバー商人グループの紹介、香港の高防御インスタントソリューションサーバー

香港の帯域幅は高額なため、ほとんどの香港サーバーは DDoS 保護を提供していません。この投稿は、お...