ハイブリッドクラウドセキュリティから学んだ教訓

いつものことですが、特に安全性に関しては、人々は自分の失敗から学ぶよりも他人から学ぶことを好みます。そのため、ハイブリッド クラウド アプリケーションが広く使用されるようになり、そのセキュリティはますます注目されるようになりました。エージェンシー SecurityWeek は、IT 専門家とセキュリティ専門家にアンケート調査を実施し、彼らの知恵を共有してもらいました。

すべてが新しいです...

人為的ミスは究極のセキュリティ脆弱性であり、これはハイブリッド クラウドの時代においても変わりません。ハイブリッド クラウド アーキテクチャでは、セキュリティ リスクやインシデント (本質的に技術的な原因によるものも含む) は、多くの場合、組織の担当者によって引き起こされます。

[[225610]]

「ハイブリッド クラウドが特有のリスクに直面する主な理由は、独自データの過度な露出や漏洩であり、いくつかの具体的な例は、セキュリティの可視性や監視の欠如を示しています」と、ShoreGroup のソリューション アーキテクト兼セキュリティ プラクティス リーダーである Ray Johansen 氏は述べています。

彼は例として、顧客リストが意図せず漏洩した例を挙げた。最終的にリストには機密データは含まれていなかったものの、監視と介入が不足していたため、関係する企業の評判は依然として影響を受けました。

「データの過剰露出には技術的な失敗もあったが、本当の失敗は、クラウドサービスにどのようなデータが法的に存在できるか、そしてもっと重要なのは、承認された組織ポリシーが何であったか、あるいはサービスプロバイダーをどのように検証するかについての明確なポリシーが欠如していたことに起因する」とヨハンセン氏は述べた。

これらのポリシーとそれに応じた監視がなければ、組織の従業員が採用し、最終的に保護する責任を負うデータを理解することはほぼ不可能です。

実は、IT の知識や監督なしに提供され、利用されるさまざまなクラウド サービスである「シャドー IT」については、誤解されている部分もあります。これは実際には、必要なポリシーとプロセスが欠如している組織での作業方法にすぎません。

「シャドーITという言葉はよく耳にするが、これはすべて、組織がチームに対して、これらのサービスはビジネスでは利用しないということを宣言していないことが原因だ」とヨハンセン氏は語った。

「企業は、市場で競争するために必要な俊敏性と運用効率を獲得するためにハイブリッド クラウドを導入したいと考えています。しかし、企業は多くの場合、それぞれの環境でデータ セキュリティを保護するために、時代遅れのツールや個別の分離されたソリューションに依存しています」と、ラドウェアのキャリア戦略およびビジネス開発担当副社長であるマイク オマリー氏は述べています。 「ハイブリッド クラウド環境に移行するには、ハイブリッド クラウドを保護し、複数の環境にわたって新しいデータ セキュリティを管理するために特別に設計された構成とソリューションに企業が投資する必要があります。」

オマリー氏は、セキュリティ プロセスの最新化と自動化が人為的エラーを削減または制限するための重要な手段であるため、自動化の実装が重要であると考えています。

「自動化とオーケストレーションは、人的要素を排除するため、極めて重要です」と、コンピューター設計および統合担当シニア ソリューション アーキテクトの Michael Colonno 氏は述べています。 「これは、セキュリティを実装するための重要な繰り返し可能な手順がすべて、ワークロードのプロビジョニング時に自動的に設定されるためです。」

たとえば、コロンノ氏は、企業や政府機関がパブリッククラウドストレージバケット内のデータを暗号化することを「忘れた」という複数の例を挙げたが、これらは主に人為的なミスであり、自動化できるものだった。

あらゆる環境に注意を払う必要がある

単一の均質なインフラストラクチャから、プライベート クラウド、パブリック クラウド、従来のオンプレミス データ センター環境にまたがるアーキテクチャに移行すると、俊敏性、拡張性、その他のメリットが向上します。しかし、これは企業にとっての脅威の対象領域がますます分散化していることも意味します。これは言い訳ではなく現実です。

「これを実行している組織は、すでに運用している環境をすべて評価しているため、保護する必要があるものの完全なリストを持っていることになります」と、Evident.io の CEO 兼共同創設者である Tim Prendergast 氏は述べています。 「彼らは組織全体にセキュリティ文化を構築し、データがどこに保存されているかに関係なく、データの保護に重点を置いています。」

ここでの全体的な戦略は、適切な可視性と所有権を確保することです。組織は必要に応じて責任を割り当てることができますが、すべての環境にセキュリティが必要です。

Prentegast 氏は顧客の例を次のように共有しました。「当社の顧客の 1 社はさまざまなクラウド サービスを活用しており、すでにそれらの環境で作業を開始しているユーザーに、ガイダンスやベスト プラクティスを求める方法を伝えることができます。」

送信中のデータセキュリティを確保する

Qwyit の創設者兼 CTO である Paul McGough 氏は、ハイブリッド クラウド セキュリティでは通常、さまざまな環境を保護するだけでなく、それらの環境間で移動するデータを安全に保つ必要性も加わると指摘しています。

「データセキュリティと暗号化の目的は、転送中も保存中もデータが安全に管理されることを保証することだ」とマクガフ氏は語った。 「データが移動する場所が増えるほど（ハイブリッド クラウド環境など）、困難さが増します。データが保存される場所が増えるほど、問題も増えます。したがって、暗号化アルゴリズムの能力だけでなく、さまざまな参加者のセキュリティ ポリシーと実践も重要です。」

暗号化とキー管理は確かに重要ですが、組織のツールとプロセスには依然として人間による監視とアクションが必要です。

「これらの暗号化技術を組み合わせることで、システムの制御と保護を実現するデータ保護、エンゲージメント ポリシー、プラクティスが実現します」と McGough 氏は説明します。

クラウドセキュリティはイベントではなくプロセスです

クラウド コンピューティングの初期段階では、セキュリティの問題が企業によるクラウド コンピューティングの導入に対する最も一般的な障壁でした。

クラウド コンピューティングが主流になるにつれ、企業の当初の不安は、セキュリティに対する考え方の変化を通じて、良い結果をもたらす可能性があります。特に、スマート ハイブリッド クラウド戦略には、インシデント主導のパッチ アンド フラッシュ アプローチが含まれることが多く、セキュリティは実践と文化の継続的な進化の問題となります。

Infinitely Virtual の CEO 兼創設者である Adam Stern 氏は、クラウド セキュリティに対する断片的なアプローチでは、問題は解決されるものの、悪用されるのを待っている他の数百、数千もの脆弱性が無視されてしまうことが多いと説明しています。

「クラウドセキュリティは、求人応募書類に記入したり、チェックボックスをチェックしたりするほど単純なものではない」とスターン氏は言う。 「セキュリティに対する断片的なアプローチは決して機能しません。穴を塞いだりバグを修正したりすることは、効果的なセキュリティ戦略を開発するための良い方法ではありません。」

ハイブリッドおよびマルチクラウド環境の場合、特に初心者は、企業がベンダーのセキュリティ機能を深く理解する必要があることを意味します。 「信頼できるプロバイダーであれば、セキュリティタスクのために実績のあるツール、手順、テクニックを提供するはずだ」とスターン氏は語った。

だからといって企業の責任が免除されるわけではない。ハイブリッド クラウド セキュリティでは、脆弱性を排除し脅威を軽減する積極的な考え方を企業が採用する必要がある、とスターンは述べた。

「クラウドセキュリティはイベントではなくプロセスだ」とスターン氏は語った。