ハイブリッドクラウドを安全にする方法: IT プロフェッショナルが知っておくべきこと

企業のハイブリッド クラウド環境を保護するのは簡単ではありません。 SANS アナリストが、パブリック クラウドとプライベート クラウド間のインターフェイスでセキュリティを向上させる理由と方法について説明します。

企業にとって、データとソフトウェア プラットフォームをクラウドに移行することは、どちらか一方を選択するということではありません。一部の企業の IT 部門では、社内のプライベート クラウドとサードパーティのパブリック クラウド サービスを組み合わせて実行する方法を検討し、学習しています。企業のコンピューティングのニーズとコストが変化すると、ハイブリッド クラウド プラットフォームを作成することで、ワークロードをプライベート クラウドとパブリック クラウド間で移動できるようになり、企業の柔軟性が向上し、データ展開のオプションが増えます。

ハイブリッド クラウドには独自の利点と欠点があります。ハイブリッド クラウドは技術者に利便性と適応性を提供しますが、それには一定のコストが伴います。セキュリティ チームは、企業データと、多くの場合、複数の環境にまたがる独自のプロセスを保護する必要があります。

Voodoo Security の主席コンサルタントであり SANS のアナリストでもある Dave Shackleford 氏は、SANS のホワイト ペーパー「ハイブリッド クラウドのセキュリティ保護: 従来のツールと新しいツールおよび戦略」でこれらの問題に対処することにしました。

「ハイブリッドクラウドモデルを採用する組織が増えるにつれ、社内のセキュリティ管理とプロセスをパブリッククラウドサービスプロバイダーの環境に適応させる必要が出てくるだろう」とシャックルフォード氏は書いている。 「まず、企業はリスク評価と分析の実践を更新し、リストされた項目を継続的に見直す必要があります。」

これらのプロジェクトは以下のとおりです。

• クラウド プロバイダーのセキュリティ制御、機能、コンプライアンス ステータス
• 社内開発およびオーケストレーションツールとプラットフォーム
• 運用管理および監視ツール
• オンプレミスとクラウドのセキュリティツールとコントロール

両社は、ホワイトペーパーの中で、クラウドのセキュリティに対する最終的な責任が企業かクラウド コンピューティング プロバイダーのどちらにあるかはまだ決めていない。

Shackleford は、クラウド コンピューティング サービス プロバイダーとその顧客間の責任共有をサポートしています。 Shackleford 氏は、クライアントに対してセキュリティ チームが以下のことを行う必要があると述べています。

• 現在使用されているセキュリティ制御を完全に理解する。
• ハイブリッド クラウド環境で正常に動作するために、どのセキュリティ制御を変更する必要があるかをより深く理解します。

その理由について、シャックルフォード氏は次のように説明した。「一部のセキュリティ制御はオンプレミスと同じようには機能しないか、クラウド サービス プロバイダー環境では機能しないことがほぼ確実です。」

ITチームが確認すべき内部プロセス

Shackleford は、次の内部プロセスを調べることを推奨しています。

構成の評価: Shackleford 氏は、セキュリティに関しては次の構成が特に重要であると述べています。

• オペレーティング システムのバージョンとパッチ レベル
• ローカルユーザーとグループ
• キーファイルの権限
• 強化されたネットワークサービスが稼働中

脆弱性スキャン: Shackleford は、システムを継続的にスキャンし、インスタンスのライフサイクル中に見つかった脆弱性を報告することを推奨しています。スキャンと結果の評価に関しては、ハイブリッド クラウド環境では通常、次のいずれかのアプローチが使用されると Shackleford 氏は指摘しました。

• 従来の脆弱性スキャナーの一部ベンダーは、クラウド プロバイダー環境で動作するように自社製品を適応させており、多くの場合、スケジュールに従ってまたはアドホックに、より侵入的なスキャンを実行するための手動リクエストを回避するために API に依存しています。
• ホストベースのエージェントを利用することで、それぞれの仮想マシンを継続的にスキャンできます。

セキュリティ監視: ハイブリッド クラウド環境は、ほとんどの場合、仮想化されたマルチテナント サーバー上に存在するため、ユーザーごとに攻撃を監視することが困難になります。 「仮想インフラストラクチャの監視は、VM/コンテナ、仮想スイッチ、ハイパーバイザー、物理ネットワークなど、いくつかの場所のいずれかで行われます」とShackleford氏は書いている。 「ほぼすべてのクラウド環境で、実際にアクセスできるのは、クラウド プロバイダーが提供する VM/コンテナまたはソフトウェア定義ネットワークだけです。」

「監視ツールを構築する際の考慮事項には、ネットワーク帯域幅、専用接続、データの集約/分析方法が含まれます」とシャックルフォード氏は続けた。 「クラウド インスタンス内のサービス、アプリケーション、オペレーティング システムによって生成されたログとイベントは、自動的に収集され、中央の収集プラットフォームに送信される必要があります。」

Shackleford 氏は、自動リモート ロギングに関しては、ほとんどのセキュリティ チームが適切なログを収集し、それを安全な中央ロギング サービスまたはクラウドベースのイベント管理プラットフォームに送信し、SIEM や分析ツールを使用して綿密に監視することをすでに理解していると考えています。

シャックルフォード氏によると、監視には何らかの制限が必要だという。彼は以下のことが優先されるべきだと考えています。

• 異常なユーザーログインまたはログイン失敗
• クラウド環境への大量のデータのインポートまたはエクスポート
• 特権ユーザーのアクティビティ
• 承認されたシステムイメージの変更
• 暗号化キーへのアクセスと変更
• 権限とID構成の変更
• ログ記録と監視の構成の変更
• クラウドプロバイダーとサードパーティの脅威インテリジェンス

サイロとポイントソリューションは問題である

人々はサービスや製品を採用するのが大好きです。同じ理由で、Shackleford 氏は、さまざまなベンダーや環境にわたって柔軟性を提供する単一ベンダーまたはクラウド ネイティブのオプションを避けることを強く推奨しています。

「一部のベンダーの製品は特定の環境でしか動作せず、ほとんどのクラウドベンダーの組み込みサービスは自社のプラットフォームでしか動作しません」と彼は説明した。 「このサイロ現象は、ビジネスニーズによって組織がマルチクラウド戦略を実装する必要があり、準拠したセキュリティ制御の再導入が必要になる場合に深刻な問題を引き起こす可能性があります。」

シフトレフトセキュリティ

Shackleford 氏は、シフトレフト セキュリティの強力な支持者です。これは、実現が難しい単純な概念ですが、セキュリティの考慮事項を製品開発段階に移すという考え方です。 「言い換えれば、セキュリティは開発と運用の実践およびインフラストラクチャ（SecDevOps または DevSecOps と呼ばれることもある）と真に統合されている」と Shackleford 氏は書いている。 「セキュリティおよび DevOps チームは、承認されたアプリケーションやオペレーティング システム構成のライブラリなど、多くの領域について IT 組織標準を定義し、公開する必要があります。」

最終警告

Shackleford 氏は、通常のデューデリジェンスに加えて、データやプロセスをパブリック クラウドに移行する前に、既存のすべての制御とプロセスの包括的なレビューを完了してベースラインを形成することを企業に推奨しています。 「これにより、企業は関連するデータを適切に保護し、パブリッククラウド環境で同等のセキュリティ機能を探す機会が得られます」とシャックルフォード氏はアドバイスする。 「セキュリティ チームと運用チームは断片化していることが多く、1 つ以上のクラウド プロバイダー環境にわたって複数の管理および監視ツールを管理することはできないため、オンプレミスとクラウドの両方の資産を 1 か所で管理できるツールを探してください。」