.png)
とは
クラウドセキュリティ
?
クラウドセキュリティに関する主な課題
クラウドプロバイダーがホストするリソースはサードパーティによって管理され、インターネット経由でアクセスできるため、クラウド環境のセキュリティに関してはかなり多くの課題があります。
アタックサーフェスの増加
パブリッククラウドでは、インターネット経由ですべてのリソースにアクセスできます。これにより、ハッカーが脆弱性を調べるうえで非常に魅力的な攻撃対象となります。この攻撃対象領域を減らし、クラウドプラットフォームを社内のデータセンターと同じくらい安全にすることはできますが、そのためには正しく設定する必要があります。もはや、すべてをファイアウォールの背後に隠すことはできません。
今はすべてソフトウェアです
クラウドでは、すべてがソフトウェア経由で配信されます。オペレーティングシステムとサーバー全体が仮想です。クラウドネイティブなインフラストラクチャーは、ワークロードに合わせて動的に拡張できます。クラウドのセキュリティ統制は、これらの変化に対応し、保存中と転送中の両方で機密データを保護できなければなりません。
可視性の欠如
ほとんどの場合、クラウド環境にはインターネット経由でアクセスする必要があります。つまり、すべてのサービスが IT スタッフが管理していないハードウェア上で実行されるということです。そのため、高度なシステムとトラフィック監視により、インフラストラクチャで何が起こっているかを一流の可視性で把握する必要があります。
きめ細かなアクセス制御
従来の社内データセンターでは、ファイアウォールでネットワーク境界を保護することで、多くの脅威を防ぎ、その脅威を補うことができます。 ネットワークセキュリティ。クラウドでは、ユーザーはインターネット経由でデータやアプリケーションにアクセスできます。つまり、クラウドプラットフォームでは、すべてのアクセス制御を正しく設定することがさらに重要になります。
複雑な環境
企業がクラウドベースのソリューションを1つだけ選択したとしても、プラットフォームは複雑になる可能性があります。しかし、ほとんどの企業には、パブリッククラウドソリューションだけでなくプライベートクラウドソリューションも必要です。また、オンプレミスでの導入をホストする支店が世界中に複数ある場合もあります。ボトルネックやエラーを防ぐために、これらのプラットフォームは連携してうまく機能する必要があります。
クラウドコンプライアンス
クラウドプラットフォームを選択することで、規制遵守に新たな側面が加わる可能性もあります。企業は HIPAA などの規制を遵守しなければならない場合があります。 PCI、およびサーベンス・オクスリー法、または特定の契約上の内部契約コンプライアンス監査は、適切なツールが整っていないと難しい場合があります。
クラウドセキュリティの責任は分担されている
クラウドプロバイダーは、顧客に安全なクラウド環境を提供するために懸命に取り組んでいます。世間の信頼を維持し、それを防ぐことは彼らのビジネスモデルの一部です。 データ侵害、およびデータ盗難。クラウドプロバイダーは安全なサービスを作成するためのツールを提供できますが、顧客がこれらのサービスをどのように使用し、構成するかを制御することはできません。顧客は、設定エラーや単純なミスによってセキュリティを弱める可能性があります。
各タイプのクラウドサービスには、責任共有モデルと呼ばれるものがあります。セキュリティ上の責任には、プロバイダーが負うものもあれば、お客様の責任となるものもあります。クラウドサービスの種類ごとに、責任がどのように分かれているかを次に示します。
- サービスとしてのインフラストラクチャ (IaaS): ここでは、ほとんどのセキュリティを顧客が担当します。データを安全に保ち、ユーザーアクセス、アプリケーションのセキュリティ、オペレーティングシステムのセキュリティを制御し、仮想ネットワークトラフィックを制御する責任は顧客にあります。
- サービスとしてのプラットフォーム (PaaS): ここでは、データを安全に保ち、ユーザーアクセスを制御し、アプリケーションのセキュリティを管理する責任は顧客にあります。
- サービスとしてのソフトウェア (SaaS): ここでは、お客様はデータ保護とアクセス制御についてのみ責任を負います。
ご覧のように、SalesforceやMicrosoft Office 365などのSaaSプロバイダーを利用することを選択した場合、セキュリティ上の責任は最小限に抑えられます。IaaS クラウドプロバイダーを利用する場合は、より包括的なセキュリティ計画が必要です。プロバイダーはあらゆる種類のセキュリティポリシーに必要なツールを顧客に提供しますが、クラウドプラットフォームは顧客が作るのと同じくらい安全です。コンプライアンスの観点からは、データに関する責任は引き続きお客様にあることをお忘れなく。
クラウドセキュリティの優先事項
クラウドプロバイダーは、クラウドにデプロイしたデータやアプリケーションを保護するための多くの機能を提供します。しかし、正しく設定したり、不正アクセス、データ侵害、データ盗難を防止するためのサードパーティ製ソリューションの助けがない限り、これらを信頼して必要なセキュリティを提供することはできません。ここでは、注意すべき点をいくつかご紹介します。 クラウドセキュリティプラン。
リアルタイム脅威検出
どのクラウドサービスでもログが生成されます。これらのログから、適切なツールを使用してインフラストラクチャの状態を把握できます。機械学習ベースのアルゴリズムは、このデータを分析して脅威を見つけ、被害が及ぶ前に脅威を阻止することができます。
高度なデータ保護
クラウドでは、ファイルとデータはどこにあっても暗号化する必要がありました。つまり、保存中と転送中のデータを暗号化する必要があります。最新のデータ暗号化は、データの安全を確保するための迅速で安価な方法です。
次世代ファイアウォールの使用
次世代ファイアウォールはクラウド環境向けに設計されています。サーバーを流れるトラフィックをきめ細かくフィルタリングし、トラフィックパターンが変化すると自動的にWAFルールを更新します。
きめ細かなセキュリティ
クラウドプラットフォームにはきめ細かなセキュリティ制御がありますが、それらを正しく使用するかどうかは顧客次第です。ユーザーは使用する必要のあるリソースにのみアクセスできるようにし、役割とグループを設定して資産を効果的に分離する必要があります。この概念については、次のセクションで詳しく説明します。
ゼロトラストがクラウドセキュリティにとって重要な理由
従来のネットワークセキュリティでは、ネットワークは境界セキュリティモデルによって保護されていました。ファイアウォールとそれに関連するセキュリティソフトウェアは、脅威がネットワークに侵入するのを防ぐことで機能しますが、ネットワーク内の誰でも、または何でも自動的に信頼してしまいます。誰かがアクセスできるようになると、ネットワーク上のどこからでもアプリケーションを実行したり、データにアクセスしたり、ファイルをダウンロードしたりすることができます。
ゼロトラストは、ネットワーク、データ、およびアプリケーションの保護に関する信頼の概念を変えます。インターネット経由ですべてのリソースにアクセスできるクラウド環境では、境界セキュリティだけでは不十分です。ゼロトラストを実装するということは、常に検証することを意味し、最低限の権限しか持たないガバナンス戦略を推進することになります。ユーザーには、仕事を成し遂げるのに必要なリソースのみへのアクセス権が与えられます。
ゼロトラスト環境では、ワークロードへのアクセスとワークロード間のアクセスは、マイクロセグメンテーションを使用して制御されます。特定され検証されたワークロードのみが通信でき、これは組織のセキュリティポリシーで定義されている許可ルールに基づいています。これにより、不正なラテラルムーブメントが防止され、価値の高いアプリケーションとデータが保護されます。
結論
データやアプリケーションをクラウドに移行することで費用を節約でき、ビジネスをより効率的に拡大できますが、クラウドプラットフォームを使用するには、社内のデータセンターとは異なるタイプのセキュリティソリューションが必要です。セキュリティの大半は、依然としてお客様自身が責任を負うことになります。つまり、クラウドの導入にはゼロトラストセキュリティポリシーを採用する必要があります。
さらに詳しく
方法をご覧ください クラウドセキュリティの向上 ゼロトラストセグメンテーションにより、ハイブリッド環境とマルチクラウド環境全体の盲点を排除できます。