IaaS: クラウド セキュリティの新たな章

IaaS: クラウド セキュリティの新たな章

製造業から金融サービス、公共部門に至るまで、さまざまな業界の企業が重要なデータをクラウド サービス プロバイダーに信頼して預けており、Office 365 や Salesforce などの SaaS (Software as a Service) アプリケーションの急速な成長は信頼にかかっています。しかし、IT セキュリティ専門家がクラウド サービス プロバイダーが従来のソフトウェアと同等かそれ以上のセキュリティを実現できると判断するまで、SaaS の採用率は低いままでした。主な課題は依然として企業側にあり、ガートナーはクラウド セキュリティ インシデントの 95% がユーザー エラーであると予測しています。

[[210403]]

現在、Infrastructure as a Service (IaaS) を中心に、クラウド導入の第 2 波が急速に広がっています。 IaaS の場合、企業は共有責任モデルを使用してセキュリティ アプローチを更新する必要があります。

IaaSの共有責任モデルを更新する

クラウド ファーストの企業は、Office 365 コラボレーション、Workday HR、Salesforce 顧客関係管理など、さまざまな機能に SaaS ツールを使用しています。どの組織にも、従業員、ユーザー、パートナーにサービスを提供するさまざまなサイズのアプリケーションがあります。組織はデータセンターを廃止し、これらの独自のアプリケーションを IaaS クラウド サービスに一斉に移行しており、その結果、IaaS の成長率は SaaS の 2 倍になっています。

SaaS セキュリティに対して積極的なアプローチをとっている企業であっても、IaaS プラットフォームでホストされているアプリケーションのパフォーマンスを再評価する必要があります。 SaaS プラットフォームと IaaS プラットフォームは、異なる責任共有モデル、つまりクラウド サービス プロバイダーとユーザー間のセキュリティ機能の分散に基づいて動作します。 SaaS プロバイダーが対処するセキュリティ侵害の多くは、IaaS サービスでアプリケーションがホストされている企業ユーザーの責任です。

さらに、迅速な移行を求める企業のプレッシャーにより、セキュリティ チームは IaaS セキュリティを効果的に監視できない可能性があります。開発チームには、クラウドへの移行が予定されている既存のオンプレミス アプリケーションのセキュリティを更新するための追加リソースがありません。独自のアプリケーションには、SaaS アプリケーションのような専用のセキュリティ ソリューションはなく、セキュリティ製品と統合するための API もありません。以前は、スタートアップ企業やクラウド サービス プロバイダーは AWS、Azure、Google Cloud Platform のセキュリティを担当する企業と考えられていましたが、今日では Fortune 2000 企業も依然としてクラウド内のアプリケーションのセキュリティ保護という課題に直面しています。

IaaS セキュリティの脅威は、組織の内外から発生します。企業の IaaS アカウントをターゲットにしてデータやコンピューティング リソースを盗もうとするハッカーは、資格情報を盗んだり、誤ったアクセス キーを取得したり、誤って構成された設定を利用したりして、このベクトルを悪用する可能性があります。研究者が GitHub 上で 10,000 件を超える AWS 認証情報を発見しました。ホスティング会社のコードスペースにとって最悪のシナリオでは、ハッキングされたアカウントがビットコインのマイニングに使用される可能性があります。

企業内では、IaaS アカウントにアクセスできる悪意のある従業員が、プラットフォーム上のデータを盗んだり、変更したり、削除したりすることで、大きな損失を引き起こす可能性があります。人為的なミスや過失により、企業のデータやリソースが攻撃者にさらされる可能性があります。 Google は、ヘルスケア企業 CareSet のアカウントを一時的に停止した。設定エラーによりハッカーが同社の Google Cloud Platform アカウントを利用して他の標的に対して侵入攻撃を仕掛けることができたためである。アカウントが復旧できなかった数日後である。組織は、IaaS 環境が安全であると想定するという間違いを犯してはなりません。上記の各ケースでは、クラウド サービス プロバイダーはユーザーに代わってこれらの脆弱性に対処することができませんでした。

IaaS セキュリティ アクション プラン

IaaS プラットフォーム上の独自アプリケーションでデータを安全に保つには、SaaS セキュリティを超えて、コンピューティング環境自体を保護する必要があります。 AWS、Azure、Google Cloud Platform、またはその他の IaaS プラットフォーム上のコンピューティング環境のセキュリティ保護は、構成監査から始まります。 IaaS の使用を安全にするために重要な 4 種類の構成を以下に示します。

1. 本人確認

多要素認証は、特にインターネットに公開されている機密性の高い企業情報を含むクラウド アプリケーションに必要な制御です。企業は、アカウント侵害のリスクを軽減するために、ルート アカウントと ID、および管理アクセス ユーザーに対して多要素認証を有効にする必要があります。強力な認証では、アクションを送信する前にユーザーが追加のログイン手順を入力する必要がある場合があります。

2. 無制限のアクセス

AWS 環境を不必要に公開すると、サービス拒否、中間者攻撃、SQL インジェクション、データ損失など、さまざまな攻撃方法の脅威が増大します。 Amazon マシンイメージ、データベース サービス インスタンス、Elastic Compute Cloud への無制限の接続により、知的財産と機密データが保護され、サービスの中断が防止されることを確認します。

3. 非アクティブなアカウント

非アクティブおよび未使用のアカウントは、IaaS 環境に不必要なリスクをもたらします。非アクティブなアカウントを確認して削除することで、アカウントの侵害や不正使用を防ぎ、生産性コストを削減できます。

4. セキュリティ監視

コンピューティングをクラウドに移行する際の最大の問題は、可視性とフォレンジックの喪失です。監査証跡の AWS CloudTrail ログ記録を有効にすると、プロアクティブな脅威と調査のための動作監視ツールを構築できます。これはあらゆる大企業にとっての基本的なコンプライアンス要件でもあり、アプリケーションを IaaS に移行する際の障害となる可能性があります。

4 つのカテゴリのうち、セキュリティ監視は最も複雑で信頼性が高いものです。機械学習ツールは、脅威を示すさまざまな動作を検出するように調整できます。 API を使用すると、セッションの場所に基づいた監視や強制ログインを有効にすることができます。一見すると、アプリケーションをクラウドに移行すると、制御が失われるように見えるかもしれません。ただし、プロアクティブなクラウドベースのセキュリティ戦略を採用すれば、IaaS 上のアプリケーションはオンプレミスのアプリケーションと同等、あるいはそれ以上に安全になります。

<<:  ファーウェイクラウド、27の新しいIaaSサービスを開始

>>:  仮想サーバー自動化の利点

推薦する

ジャック・マーと石玉珠がワスメディアに65億元を投資

新浪科技は4月8日午後、倭蘇メディアが本日深セン証券取引所で公告を発表し、ジャック・マー氏と石玉柱氏...

有名ブログをレビューした後のまとめと考察

自分のブログを有名にすることは、すべてのブロガーの夢です。ブログが誕生した日から、ブロガーたちはいつ...

HugeTLBに関する革新的な最適化について話す

[[405164]]導入この論文では、HugeTLB に対応する構造体ページのメモリ使用量を最適化す...

2018 年の中国のクラウド コンピューティング技術アプリケーションの一覧: AI が増加、IoT が増加

2018年の初め、クラウドコンピューティングの専門家は次のように書いています。「2018年の最大の変...

RegVPS-$7/Windows/512 メモリ/15g ハードドライブ/1T トラフィック/ロシア/スイス/ドイツ/米国

RegVPSはロシア(2009年)に登録された会社です。現在、ロシア、スイス、ドイツ、米国の4つのデ...

digital-vm: ロサンゼルスの 10Gbps 無制限帯域幅 VPS を 8 か月使用してレビュー

今年 5 月、HostCat は米国西海岸のロサンゼルス データ センターにある digital-v...

オンライン共同購入業界の死亡率はほぼ半分であり、専門家はモデルの突破口を模索する必要があると述べている

2012 年は、さまざまな共同購入 Web サイトにとって間違いなく暗い年でした。倒産、合併・買収、...

一見シンプルに見えるウェブサイトを開発するには、なぜトップクラスのエキスパートが必要なのでしょうか?

Zhihu のトピックディスカッションより: 「Facebook や Taobao など、それほど複...

webcare360: ウクライナ、1G 帯域幅、無制限トラフィック、苦情防止サーバー/著作権を無視

苦情対策サーバー事業を専門とする民間企業「webcare360」は、2009年1月に「セントクリスト...

AMD Opteron製品はコアから仮想化を実現します

今日では、クラウド コンピューティングが一般的なトレンドとなっています。 CPU 技術、仮想化技術、...

ページの詳細を最適化する方法をご存知ですか?

龍年が始まってから、百度は大きな変化を遂げました。百度はウェブサイトの内部要素、特にページの詳細の処...

Sentry のオープンソース版と商用 SaaS 版の違いをご存知ですか?

この記事はWeChatの公開アカウント「Hacker Afternoon Tea」から転載したもので...

「Docker の生と死: この船はどこまで行けるのか?」

今月初め、「Docker, Inc. は死んだ」という記事で、Docker, Inc. は 2018...

Baiduのアルゴリズムが再びアップグレードされ、主にユーザーエクスペリエンスに影響を与えるウェブサイトを取り締まるようになった。

8月22日午後1時頃、百度ウェブマスタープラットフォームのリー氏は、すべてのウェブマスターに「百度の...

#618# 馬華雲: 中秋節、香港三網CN2クラウドサーバーは月額25元から、10Gbps DDoS防御は無料

Mahua Cloudは、毎年恒例の618特別カーニバルイベントを開催します。香港データセンター、ク...