ロシアでも同様の状況が見られます。 焦点は徐々にクラウドに移行しているため、企業はセキュリティの問題に注意を払う必要があります。 今日の資料では、この点についてさらに詳しく説明し、クラウドを保護するためのいくつかの推奨事項を示します。
/写真: Henri Bergius CC
クラウドの物理的保護
クラウドインフラストラクチャについて説明しているため、物理アクセスを制御するタスクはクラウドプロバイダーの肩にかかっています。 したがって、見知らぬ人がホストに許可されていないことを確認する必要があります。 遠足を拒否されるか、不正アクセスからインフラストラクチャを保護する方法に関する重要な情報を提供しない場合、これは心配する理由です。
プロバイダーがマシンルーム、エンジニアリングルーム、その他のサービスルームのデモを行い、内部から「キッチン」を見ることができる場合、これは良い兆候です。 たとえば、IT-GRADが使用するサービスを提供するプロバイダーは、クラウドの場所、通信システムの機能、施設でのセキュリティの確保に関する包括的な情報を提供しました。 これについては、資料の1つで説明しました。
認定に合格したデータセンターに対してのみデータを信頼する必要があることに注意してください。 データセンターの状態を個別に評価することは可能ですが、時間がかかる場合があります。 さらに、データセンターの法的地位を調べ、緊急時にプロバイダーがシステムサポートに必要なすべての州のライセンスと契約を持っているかどうかを調べる必要があります。
データ漏洩保護
「組織は広範囲にわたる脅威に苦しんでおり、これは確かに懸念の原因です。 Arbor NetworksのスポークスマンであるDarren Ansteeは、次のように述べています。
したがって、プロバイダーのクラウドに送信されるデータは保護する必要があります。 誰が情報にアクセスしたか、どの操作が実行されたか、リクエストの送信元のアドレスを知る必要があります。 これらの問題はすべて、ビジネスに不可欠なデータへのアクセス権を管理するサービスを使用して解決できます。 また、企業データセンターの外で無期限に「生きる」必要のない重要な情報の「自己破壊」ポリシーを作成することも検討する価値があります。
送信データを保護する1つの方法は暗号化です。 情報を適切に保護するには、データライフサイクルのすべての段階で暗号化を実装する価値があります。 モバイル企業デバイス上のアプリケーションがデータをキャッシュする場合、このアプローチにより、ガジェットが失われた場合の漏洩が防止されます。
クラウドでデータ暗号化を提供するための多くのソリューションが市場にあります。 たとえば、そのうちの1つはトレンドマイクロのSecureCloudです。 システムは、SecureCloudに保存されている暗号化キーを使用して仮想マシンドライブを暗号化し、保護されたストレージモジュールの暗号化/復号化プロセスを開始します。 アーキテクチャ上、ソリューションは、保護された仮想マシンにインストールされたコンソールおよびエージェントを介してアクセスできるサービスとして提供される管理システムで構成されています。
他のいくつかの一般的なクラウド暗号化サービスがRedditユーザーによって提案されています。
APIアクセス保護
Webコンソールへのアクセスを制限します。許可されていないAPIアクセスは、システムを非常に破壊する可能性があるためです。 アプリケーションプログラミングインターフェイスを使用するユーザーは、アクセス制御および認証管理機能を使用する必要があります。
おそらく最も強力なツールはIPアドレスのホワイトリストです。これにより、API呼び出しごとに限られた数のアドレスを指定できます。 これに加えて、他の方法を使用してAPIに接続することは理にかなっています。 たとえば、ユーザー名とパスワードの代わりにUUID / APIキーの組み合わせを使用して、APIとWebコンソールへのアクセスを共有できます。
認証と承認
ここでは、多要素認証タイプの使用を検討する必要があります。 追加のセキュリティレベルを導入すると、不正アクセスからシステムをより効果的に保護できます。
同時に、クラウドプロバイダーは、企業のセキュリティポリシーに従って各ユーザーのアクセスレベルを構成する機能を顧客に提供する必要があります 。 たとえば、ある従業員が商品購入のリクエストを生成し、別の従業員が他のアクセス権を持っている場合、それらを確認できます。
アクティビティ監視
仮想マシンが自動的に作成され、サーバー間で自動的に移行されると、情報がどこにあるかを確実に知ることができません。 したがって、クラウドが効率的に機能するためには、ロギングおよびレポートシステムを構成する必要があります 。
このようなシステムは、サービスの管理と最適化にとって重要です。 ストレージとメモリに関するすべての操作がイベントログに記録されていることを確認してください。イベントログは、アクセスが制限された複数の保護された場所に保存されます。
ディープトラフィック分析DPI(ディープパケットインスペクション)およびCASBテクノロジー(クラウドアクセスセキュリティブローカー)のテクノロジーにも注意を払うことは理にかなっています。 DPIソリューションについては、パケットの動作分析を行うことができます。 このようなシステムは、プロトコル、ポート、および署名を調べて、着信パケットを分類し、それらに適切な手段を適用します。
CASBは、管理者向けのセキュリティツールであり、潜在的なシステムリスクを特定し、高度な保護を提供できます。 このソリューションは、企業が使用するクラウドアプリケーションの単一の制御ポイントであり、プロバイダーのITインフラストラクチャと連携して動作し、共有ファイルを監視する機能を提供します。 これにより、管理者はコンテンツがいつ誰に転送されるかに関するすべての情報を得ることができます。
QuoraおよびRedditプラットフォームのユーザーは、他の監視ツールのリストを提案しました。 これらのリンクは、 こちらとこちらで見つけることができます。
セキュリティ戦略
結論として、クラウドだけでなく、あらゆる環境の作業の最も重要な側面は、インフラストラクチャのセキュリティを維持するための開発計画であることに注意してください。 以下の画像は、クラウドセキュリティの主要なコンポーネントを強調した図を示しています。 その中でも、最も重要なものがいくつかあります。
ソース :ガートナー
- これは、ハードウェアが置かれている環境のセキュリティを確保するための物理的なアクセス制御です。
- これは定期的なソフトウェアの更新です。 ベンダー、ハイパーバイザー、セキュリティシステムのコンポーネントによって提供されるソフトウェアには、最新バージョンが必要です。 この場合、変更を記録して分析する必要があります。
- これは、システムコンポーネントの集中監視です。専門家チームの存在、監視ツール(DPIシステムなど)の使用、ソリューションのアクティビティの評価です。 これにより、新たな脅威や問題に迅速に対応できます。
- これは、脆弱性を識別するためのテストを実施しています。
環境全体を適切に管理するには、リスクを最小限に抑え、インフラストラクチャを安全に保つために、これらすべてのプロセスを適切に管理する必要があります。