/ pix / PublicDomainPictures / CC0
Gartnerの調査によると、2020年までに、クラウドからのすべての情報漏洩の80%は、プロバイダーの脆弱性ではなく、企業の不適切な構成または内部問題によるものです。 したがって、IT組織は、セキュリティの基本に関する内部ビジネスプロセスと人材育成に注意を払う必要があります。
現在、64%の企業がクラウドインフラストラクチャをより安全であると考え、75%が追加の保護対策を講じています。 たとえば、顧客の61%がデータ暗号化に頼り、52%がIDと情報システムへのアクセスを管理するポリシーを持ち、48%が定期的なシステムチェックを実施しています。
ただし、データが存在するサイバー犯罪者にとってはそれほど重要ではありません。仮想マシンまたは実マシン上では、彼らの目標はあらゆるコストでアクセスできるようにすることです。 したがって、クラウド内のデータを保護するために、会社のデータセンターと同じツールを使用できます。 専門家は、データの暗号化、データへのアクセスの制限、および緊急時の回復の可能性という3つの主要なセキュリティ分野を特定します。
さらに、専門家はAPIを詳しく調べることをお勧めします。 オープンで安全でないインターフェイスは、データ保護の弱点となり、クラウドプラットフォームの脆弱性の主な原因になります。
分析と機械学習
問題の解決策として、AIツールに注意を払うことができます。 人工知能と機械学習フレームワークを使用してデータ保護を自動化すると、日常的なタスクが簡素化されます。 ただし、パブリックおよびプライベートクラウドインフラストラクチャのセキュリティを確保するためにすぐに使用されます。
今日のこのアプローチの例は、外部ソースから受信した脅威データを使用して、自動構成変更を伴うセキュリティポリシーを作成できるオープンソースプロジェクトMineMeldです。 このソリューションにより、特定の会社の特定のニーズを考慮することができます。 もう1つの例は、行動分析と機械学習を使用して外部および内部の脅威を識別するGurucul Cloud Analytics Platform 製品です。
暗号化
Forrester ResearchのバイスプレジデントであるAndras Cserは、すべてのデータを暗号化しても意味がないと確信しています。 セキュリティを確保するには、特定のポリシーを導入する必要があり、その準備のために専門家を引き付けることができます。 クラウド内のデータ、トラフィックの行き先を見つけてから、暗号化する価値のある情報を決定する必要があります。
セキュリティ対策を強化する前に、それらの妥当性を計算することは有用です。たとえば、そのような対策を導入するコストと情報漏洩による損失の可能性を比較します。 さらに、暗号化またはアクセス制御とユーザー認証がシステムパフォーマンスに与える影響を考慮する必要があります。
データ保護は、いくつかのレベルで実行できます 。 たとえば、ユーザーがクラウドに送信するすべてのデータは、匿名性とセキュリティを確保するAESアルゴリズムを使用して暗号化できます。 次のレベルの保護は、クラウドストレージサーバーのデータ暗号化です。 また、クラウドプロバイダーは複数のデータセンターを使用してデータを保存することが多く、これは情報の整合性にプラスの影響を与えます。
ここと、Stack Exchangeのこのスレッドで、クラウド内のデータを暗号化するためのいくつかのガイドラインを見つけることができます。
インフラ監視
センターで使用されている機器についてはすでに説明しました。 クラウドに移行する場合、多くのお客様はファイアウォールと仮想ネットワークの設定を変更する必要があるため、新しいセキュリティ戦略を実装する必要に直面しています。
SANSの調査によると、クライアントは不正アクセス防止システムの脆弱性(68%)、アプリケーションの脆弱性(64%)、マルウェア感染(61%)、ソーシャルエンジニアリングおよびセキュリティルールの違反(59%)、および内部の脅威を心配しています(53%)。
同時に、IllumioのシニアマーケティングディレクターであるChandra Sekar は 、攻撃者はほとんど常にシステムをハッキングする方法を見つけることができると考えています。 したがって、主なタスクは、攻撃がチェーン内の他の脆弱なリンクに拡散しないようにすることです。 これは、セキュリティシステムがワークロード間の不正な相互作用をブロックし、不正な接続要求を防ぐ場合に可能です。
市場には、データセンターのインフラストラクチャを監視するための多くの製品があります。たとえば、Cisco ラインは、IT管理者にネットワークアクティビティの全体像を把握する機会を提供します。 ネットワークに接続しているユーザーを確認できるだけでなく、ユーザーにルールを設定することもできます。特定のユーザーにできることや、ユーザーが持つアクセス権を設定できます。
自動化
データセンターの信頼性を高めることができるもう1つのアプローチは、セキュリティシステムとDevOpsプラクティスの統合です。 これにより、アプリケーションの展開と実装の変更のペースが加速されます。 適応型セキュリティアーキテクチャにより、自動化および管理ツールとの統合が可能になり、継続的な展開プロセスの一部としてセキュリティ設定を変更できます。
クラウドインフラストラクチャでは、セキュリティは開発と展開とは別に考慮されなくなり、継続的統合と継続的展開(CI / CD)の不可欠な部分になりつつあります。 Jenkinsプラグインなどのツールはこれを提供できます。これにより、コードとセキュリティの検証が品質保証の標準ステップになりつつあります。
他のベンダーは、セキュリティをテストおよび監視するためのDevOpsツールを提供しています。たとえば、SASTソリューションは、静的状態のアプリケーションソースコードを分析し、セキュリティの脆弱性を識別するために使用されます。 Stack Exchangeのこのスレッドには、DASTおよびSASTのいくつかのソリューションがあります。
主なことは、セキュリティの問題を延期しないことです。 以前は、製品のセキュリティはしばしば別のチームによって処理されていました。 しかし、このアプローチは製品の作業にかかる時間を増加させ、すべての脆弱性の除去を保証することはできませんでした。 今日、セキュリティの統合は実際に行われているだけでなく、DevOpsSec、DevSecOps、またはSecDevOPsという特別な用語が登場しています。
IntelのクラウドおよびSaaSの最高技術責任者であるJamie Tischartによると 、これらの用語には大きな違いがあります-Sec部分の場所はセキュリティの重要性を反映しています。 そして、実際のアプリケーションの観点から正しいものは、バリアントSecDevSecOpsSecです。 クラウドインフラストラクチャを含む製品を作成するすべての段階で、セキュリティについて考える必要があります。
PS今日のブログのもう1つの投稿はVPSダイジェストです。
PPSセキュリティのトピックおよびデータセンターの作業に関するその他の資料: