パブリッククラウドでのデータ保護の6つのステップ

クラウド コンピューティングのセキュリティは依然として企業にとって最大の懸念事項ですが、パブリック クラウドがプライベート クラウドよりも安全であるというのは直感に反するように思えます。しかし、クラウド コンピューティング サービス プロバイダーは、他の大企業よりもセキュリティ ツールに多額の投資を行える規模の利点があり、多数のユーザーによってセキュリティのコストが軽減されます。

[[225344]]

これは、企業がデータセキュリティの責任をクラウド コンピューティング プロバイダーに移譲できるという意味ではありません。本人確認をはじめ、企業が講じる必要のある基本的なセキュリティ対策は数多くあります。これはすべてのユーザーに当てはまりますが、システム管理者にとって特に重要です。パスワードが侵害されるということは、企業のビジネスにマスターキーを引き渡すのと同じことになる可能性があります。管理者にとって、多要素認証の実践は安全な運用のために不可欠です。スマートフォンを使用した生体認証の追加は、この認証の第 2 部または第 3 部における最新のトレンドであり、多くの独創的な戦略が採用されています。

クラウド データへのアクセスを保護するだけでなく、データ自体をどのように保護しますか?一連のインスタンスが削除されたが、対応するデータは漏洩しておらず、しばらくするとファイルがばらばらになり、問題が発生する可能性があるというマスターデータ侵害について聞いたことがあります。これはデータ所有者の不注意が原因です。

この質問には 2 つの答えがあります。大規模なクラウド設定の場合は、クラウド データ マネージャーを使用して、すべてのデータと孤立したファイルを追跡することをお勧めします。これにより、データがさまようことは防止されるはずですが、ハッカーが侵入して、役に立つ最新のデータを入手できた場合はどうなるでしょうか?答えは簡単です。適切な暗号化です。

ディレクトリで PKZIP 圧縮ソフトウェアを使用するよりも、暗号化を使用する方が理にかなっています。 AES-256 以上の暗号化が必須です。キー管理は重要であり、管理者にキーを持たせることは災害の発生を招きやすく、従業員が付箋にパスワードを書き留めることは極端な例です。クラウド プロバイダーが提供するオプションの 1 つはドライブベースの暗号化ですが、これはまったく失敗します。まず、ドライブベースの暗号化では通常、選択できるキーが少数しかなく、ハッカーはそれらを推測することでインターネット上のデータに簡単にアクセスできます。次に、ドライブが接続されているネットワーク ストレージ デバイスによってデータを復号化する必要があります。その後、要求元のサーバーに送信されるときに再暗号化されます (または暗号化されません)。このプロセスには多くのセキュリティホールがあります。

エンドツーエンドの暗号化は、サーバー内に保持されたキーを使用して暗号化するため、はるかに優れています。これにより、下流のセキュリティ脆弱性が問題になるのを防ぎ、パケット スニッフィングに対する保護も追加されます。

クラウド コンピューティングではデータの拡散が簡単に発生しますが、特にクラウド管理の多くが部門コンピューティングやユーザーに分散されている場合は、別のセキュリティ リスクが発生します。クラウド データ管理ツールは、書面によるポリシーよりも効果的にこの問題を解決できます。また、ストレージ管理とグローバル重複排除の付加価値も考慮されており、データの露出を大幅に削減します。

最後に、データをどのようにバックアップするかという問題が変わりつつあります。従来のバックアップと災害復旧は、テープとディスク ストレージの使用から、クラウド コンピューティングを優先ストレージ メディアとして使用することに移行しました。ここで問題となるのは、スナップショットや継続的なバックアップ システムではなく、バックアップ プロセスが適切な戦略であるかどうかです。スナップショット アプローチは増加していますが、リカバリ ウィンドウが小さく、データ損失が限られているためリスクがあるだけでなく、別のバックアップ コピー (別のクラウドに保存されている可能性があります) がないためリスクがある可能性があります。

以下では、パブリック クラウドを使用する際に企業がデータを保護できる方法について詳しく説明します。

（１）多要素認証

企業は、クラウド データにアクセスするユーザーに対して強力なパスワードを強制する必要があり、多くの企業はパスワード保護を超えて、多要素認証を可能にするより優れたセキュリティ対策の提供を目指しています。パスワード保護以上のものを要求するには、多要素認証を採用する必要があります。 2 番目の選択肢としては、指紋、声紋、または網膜スキャンが考えられます。もう 1 つのオプションは、ユーザーだけが答えを知っている難しい質問をいくつか設定することです。

ただし、強力な認証を導入していても、不満を抱く社内マネージャーやコーダーなど、内部者によるリスクは依然として存在します。企業はデータ分析を適用して、重要なファイルのダウンロードや、業務タスクに関係のない領域への侵入など、異常なアクセス パターンを見つけることができます。個人的には、サーバーの USB ポートをロックダウンすることは必須ですが、それによってモバイル デバイスやブラウザーベースの操作が妨げられることはありません。マネージャーとコーダーのアクセスを確保するための唯一の答えは、特定の領域へのアクセスを厳しく制限し、彼らの知識を必要最低限​​のものに制限することです。

（２）VPN管理

クラウド内の VPN は設定と管理が「無料」なので、データの保護にご利用ください。ユーザーを自分のゾーンに制限し、他のゾーンでは表示できないようにロックします。これは、コマンド アンド コントロール ボットネットの防止に特に重要です。これらの攻撃により、攻撃者は簡単に大きな損害を与えることができるためです。企業は可能な限り多くのレイヤーにアクセスするため、特定のデータ セットに対するクリーンなパスは存在しません。異常なダウンロードやアップロードは疑わしいアクティビティとしてフラグ付けできるため、トラフィック監視はここで役立ちます。

（３）データ管理ツール

データオブジェクトが漏洩するという話はよく聞きます。これらは多くの場合、管理者の不注意によって発生しますが、完璧な人間などおらず、複雑さは急速に増大しています。ただし、通常はプレーンテキストで完全に読み取り可能であり、その内容が Web 全体に分散されている場合もあります。

解決策は、データ管理ソフトウェア ツールを導入して、データを検索および特定し、使用状況を監視することです。これは注目されているIT分野であり、優れたソリューションがますます増えていくでしょう。

さらに、仮想マシンでは、一時的なローカル インスタンス ドライブによってデータが公開される可能性もあります。たとえば、インスタンスがクラッシュした場合、スタッフはデータがどうなるか知っていますか?見つからない場合は、サーバーが故障している可能性があり、サーバー自体のリムーバブル ドライブ (暗号化キーなど) が盗まれる可能性があります。サーバーのクラッシュが一時的なものである場合、クラウド コンピューティング サービス プロバイダーはどのようにしてデータの読み取りを防ぐことができるのでしょうか?これは特に SSD ハードドライブで問題になります。予備ブロックのプールは膨大で、バックグラウンドでのみ削除できます。クラウド コンピューティング サービス プロバイダー (CSP) は、新しいテナントが空きスペースに入らないように注意する必要があります。

（4）重複排除

安価なクラウド ストレージをレンタルすると、データの拡散が発生する可能性があります。わずか数セントしかかからないのに、なぜ削除するのでしょうか?オブジェクトの重複排除が役立ちます。これは圧縮技術ではなく、オブジェクト内のデータの重複を調べて削減可能な部分を見つけます。重複排除により、最終的には、特定のオブジェクトの適切に保護された単一のコピーが作成されます。オブジェクトに対するその他の使用または参照はすべて、メタデータ ファイル内の単なるポインターです。

データ重複排除には、ドライブ スペースの節約と管理の簡素化という 2 つの効果があります。特にストレージ システムに分析ツールやインデックス作成ツールが追加されるにつれて、管理の簡素化がより重要になります。同じ名前のファイルをディレクトリ内で検索するのに時間を費やした管理者は、この価値提案を理解する必要があります。

レプリケーション管理により、データを完全に保護することもできます。同じ ID を持つ数十のコピーを保護するよりも、1 つのコピーを保護する方がはるかに簡単です。

（５）暗号化

ファイルを頻繁に暗号化しますか?調査によると、データ暗号化に関する人々の意識はまだ低く、これが壊滅的なデータ漏洩の根本的な原因となっています。パブリック クラウドでデータを暗号化しないのは怠慢です。以下に、すべきこととすべきでないことを記載します。

• AES以上の暗号化を使用する
• ファイル名またはオブジェクト名を暗号化するか、少なくとも暗号化されたメタデータファイルに格納する
• すべてのオブジェクトに1つのキーを使用しないでください
• キーを知っている管理者の数を制限する
• 送信元で暗号化されているため、送信パケットを盗聴するハッカーは失敗する
• ほとんどのドライブにはネットワーク上で使用可能なキーの (短い) リストがあるため、ドライブベースの暗号化は使用しないでください。
• 労働者は、クラウド コンピューティング サービス プロバイダーの暗号化オプションを慎重に確認する必要があります。

（6）バックアップと災害復旧（DR）

業界では、従来のスタンドアロン バックアップ レプリケーション ソフトウェアと比較して、継続的なバックアップとスナップショットのどちらがデータ保護に適しているかについて議論があります。スナップショットは優れたメトリックを提供するため魅力的ですが、スナップショットを災害復旧 (DR) に組み込むことができる領域は何でしょうか?プライマリデータが保存されているのと同じクラウド サービス プロバイダー内にバックアップを置くのは賢明でしょうか?追加の潜在的な問題はありますか?これらは企業が慎重に検討する必要がある質問です。

うまく実行されれば、マルチリージョンまたはマルチクラウド レプリケーションを備えたスナップショット永久ストレージ戦略は、経済性とデータ保護の両方の観点から非常に有望に見えます。ただし、すべてのソリューションが同じように作成されるわけではないため、企業はこの問題について調査することをお勧めします。