English -> Visit original BeyondTrust page
クラウド セキュリティ (クラウド コンピューティング セキュリティとも呼ばれます) は、クラウド コンピューティング環境、アプリケーション、データ、情報を保護する規律と実践を指します。クラウド セキュリティには、不正な使用/アクセス、分散型サービス拒否 (DDOS) 攻撃、ハッカー、マルウェア、その他のリスクからクラウド環境を保護することが含まれます。クラウド セキュリティはクラウド環境のセキュリティに適用されますが、関連用語であるクラウドベースのセキュリティは、オンプレミスのハードウェアやハードウェアを介して展開されるのではなく、クラウドでホストされるセキュリティ サービスのサービスとしてのソフトウェア (SaaS) 配信モデルを指します。ソフトウェア。
主な3つのタイプのクラウド環境
- パブリッククラウドサービス
サードパーティのクラウド サービス プロバイダー (アマゾン ウェブ サービス (AWS)、Microsoft Azure、Google Cloud など) によってホストされ、通常は Web ブラウザーからアクセスできるため、ID 管理、認証、およびアクセス制御が不可欠です。 - プライベートクラウド
通常は専用であり、単一の組織のみがアクセスできます。ただし、アクセス侵害、ソーシャル エンジニアリング、その他の悪用に対して依然として脆弱です。 - ハイブリッドクラウド
パブリック クラウドとプライベート クラウドの側面を組み合わせることで、組織はパブリック クラウド環境よりもデータとリソースをより細かく制御できるようになり、必要に応じてパブリック クラウドのスケーラビリティやその他の利点を活用することができます。
主要な3つのカテゴリに分類されるクラウドサービスモデル
- サービスとしてのインフラストラクチャ (IaaS)
事前構成された仮想データセンターのコンピューティング リソース (ネットワーク、ストレージ、オペレーティング システムなど) のオンデマンド モデルを有効にします。これには、大規模な仮想マシンの作成の自動化が含まれる場合があるため、仮想マシンのプロビジョニング、管理、スピンダウンの方法を検討することが重要です。 - サービスとしてのプラットフォーム (PaaS)
ツールやその他のコンピューティング インフラストラクチャを提供し、組織が Web アプリケーションとサービスの構築と実行に集中できるようにします。PaaS 環境は主に開発者、運用チーム、DevOps チームをサポートします。ここでは、セルフサービスの資格と特権の管理と構成がリスク制御の鍵となります。 - ソフトウェア・アズ・ア・サービス (SaaS)
サードパーティによってホストされるアプリケーションで構成され、通常はクライアント側でアクセスされる Web ブラウザを介してソフトウェア サービスとして配信されます。SaaS を使用すると、エンドユーザーのデバイスにアプリケーションを展開して管理する必要がなくなりますが、潜在的にはすべての従業員が Web サービスにアクセスしてコンテンツをダウンロードできるようになります。したがって、アクセスされる SaaS アプリケーションの種類、使用状況、コストを監視するには、適切な可視性とアクセス制御が必要です。
クラウド コンピューティングのセキュリティに関する主な考慮事項
- 可視性の欠如とシャドーIT
クラウド コンピューティングにより、誰でも簡単に SaaS アプリケーションをサブスクライブしたり、新しいインスタンスや環境を起動したりすることができます。ユーザーは、新しいクラウド サービスの承認の取得とサブスクライブ、または新しいインスタンスの作成について、強力な許容使用ポリシーに従う必要があります。 - コントロールの欠如
パブリック クラウド サービスをリースするということは、組織がクラウド サービスを実行するハードウェア、アプリケーション、またはソフトウェアの所有権を持たないことを意味します。これらの資産に対するクラウド ベンダーのアプローチを必ず理解してください。 - データの送受信
クラウド アプリケーションは多くの場合、他のサービス、データベース、アプリケーションと統合し、それらと連携します。これは通常、アプリケーション プログラミング インターフェイス (API) を通じて実現されます。API データにアクセスできるアプリケーションとユーザーを理解し、機密情報を暗号化することが重要です。 - 埋め込み/デフォルトの認証情報とシークレット
クラウド アプリケーションには、埋め込まれた認証情報やデフォルトの認証情報が含まれる場合があります。デフォルトの認証情報は攻撃者に推測される可能性があるため、リスクが高まります。組織は、他の種類の特権資格情報と同様に、これらの資格情報を管理する必要があります。 - 非互換性
オンプレミス環境またはある種のクラウド向けに設計された IT ツールは、多くの場合、他のクラウド環境と互換性がありません。非互換性は可視性と制御のギャップにつながり、構成ミス、脆弱性、データ漏洩、過度の特権アクセス、コンプライアンス問題などによるリスクに組織をさらす可能性があります。 - マルチテナンシー
マルチテナンシーは、共有リソースの多くのクラウド利点 (低コスト、柔軟性など) のバックボーンですが、データ分離とデータ プライバシーに関する懸念も生じます。 - 双方向に対応するスケーラビリティ
自動化と迅速な拡張性がクラウド コンピューティングの主な利点ですが、その反面、脆弱性、構成ミス、その他のセキュリティ問題 (API、特権資格情報、SSH キーなどの秘密の共有など) も高速かつ大規模に増殖する可能性があります。 。たとえば、クラウド管理者コンソールを使用すると、ユーザーは大規模なサーバーを迅速にプロビジョニング、構成、管理、削除できます。ただし、これらの仮想マシンはそれぞれ、独自の権限セットと特権アカウントを持って生まれてくるため、適切にオンボーディングして管理する必要があります。DevOps 環境ではこれらすべてがさらに複雑になる可能性があります。DevOps 環境は本質的に高速充電で高度に自動化されており、セキュリティを後回しに扱う傾向があります。 - マルウェアと外部攻撃者
攻撃者はクラウドの脆弱性を悪用して生計を立てることができます。迅速な検出と多層セキュリティ アプローチ (ファイアウォール、データ暗号化、脆弱性管理、脅威分析、アイデンティティ管理など) により、リスクを軽減しながら、攻撃に耐えられる態勢を整えることができます。 - インサイダーの脅威 – 特権
インサイダー関連の脅威 (過失または悪意による) は、通常、検出と解決に最も時間がかかり、最も有害になる可能性があります。これらの脅威を排除し、脅威が発生した場合に(横方向の移動や権限昇格の防止などにより)被害を軽減するには、強力な ID およびアクセス管理フレームワークと効果的な権限管理ツールが不可欠です。
9 クラウド コンピューティングのセキュリティのベスト プラクティス
- 戦略と方針
総合的なクラウド セキュリティ プログラムでは、クラウド セキュリティ リスクの所有権と説明責任 (内部/外部)、保護/コンプライアンスのギャップを考慮し、セキュリティを成熟させ、望ましい最終状態に到達するために必要な制御を特定する必要があります。 - ネットワークのセグメンテーション
マルチテナント環境では、自社のリソースと他の顧客のリソースの間、および自社のインスタンス間でどのようなセグメンテーションが行われているかを評価します。可能な場合は、ゾーン アプローチを活用して、インスタンス、コンテナ、アプリケーション、およびシステム全体を相互に分離します。 - ID とアクセス管理および特権アクセス管理
堅牢な ID 管理と認証プロセスを活用して、承認されたユーザーのみがクラウド環境、アプリケーション、データにアクセスできるようにします。最小権限を適用して特権アクセスを制限し、クラウド リソースを強化します (たとえば、必要な場合にのみリソースをインターネットに公開し、不要な機能/機能/アクセスを非アクティブ化します)。権限がロールベースであり、特権アクセスがセッション監視を通じて監査および記録されていることを確認します。 - クラウド インスタンスと資産を検出してオンボードする
クラウド インスタンス、サービス、資産が検出され、グループ化されたら、それらを管理下に置きます (つまり、パスワードの管理と循環など)。シャドウ IT を排除するには、検出とオンボーディングを可能な限り自動化する必要があります。 - パスワード制御 (特権パスワードおよび非特権パスワード)
共有パスワードの使用は決して許可しないでください。機密領域については、パスワードを他の認証システムと組み合わせます。パスワード管理のベスト プラクティスを確実に実施します。 - 脆弱性管理
脆弱性スキャンとセキュリティ監査を定期的に実行し、既知の脆弱性にパッチを適用します。 - 暗号化
クラウド データが保存中も転送中も暗号化されていることを確認します。 - 災害からの回復
クラウド ベンダーのデータのバックアップ、保持、回復のポリシーとプロセスに注意してください。社内基準を満たしていますか? 万全の戦略とソリューションを導入していますか? - 監視、アラート、レポート
すべての環境とインスタンスにわたって継続的なセキュリティとユーザー アクティビティの監視を実装します。クラウド プロバイダー (利用可能な場合) からのデータを社内および他のベンダー ソリューションからのデータと統合して一元化して、環境で何が起こっているかを全体像を把握できるようにしてください。