官民を問わず、組織はデータとソフトウェアプラットフォームのクラウド移行は「すべてかゼロか」の問題ではないと認識しています。IT部門は、オンプレミスのプライベートクラウドとサードパーティのパブリッククラウドサービスを組み合わせて運用する方法を模索しています。ハイブリッドクラウド・プラットフォームを構築することで、コンピューティングのニーズやコストの変化に応じてワークロードをプライベートクラウドとパブリッククラウド間で移行できるようになり、企業の柔軟性とデータ展開オプションの拡大につながります。
参照: クイック用語集: ハイブリッドクラウド (Tech Pro Research)
ハイブリッドクラウドには、長所と短所があります。ハイブリッドクラウド技術を利用する人々が享受できる利便性と適応性には、それなりのコストが伴います。セキュリティチームは、企業データ、そして多くの場合、複数の環境にまたがる独自のプロセスを保護しなければなりません。Voodoo Securityの主席コンサルタントであり、SANSアナリストでもあるDave Shackleford氏は、SANSのホワイトペーパー「ハイブリッドクラウドのセキュリティ確保:従来型 vs. 新しいツールと戦略」で、これらの懸念事項に対処しました。
「ハイブリッドクラウドモデルを採用する組織が増えるにつれて、社内のセキュリティ管理とプロセスをパブリッククラウドサービスプロバイダーの環境に適応させる必要が出てくるでしょう」とシャックルフォード氏は記しています。「まず、リスク評価と分析の実践を更新し、図1に記載されている項目を継続的に見直す必要があります。」具体的な項目は以下の通りです。
- クラウドプロバイダーのセキュリティ管理、機能、コンプライアンス状況
- 社内開発およびオーケストレーションツールとプラットフォーム
- 運用管理および監視ツール
- 社内とクラウドの両方におけるセキュリティツールとコントロール
クラウドにおけるセキュリティの最終的な責任は誰にあるかという点については、まだ結論が出ていません。シャックルフォード氏は、クラウドサービスプロバイダーとその顧客が責任を共有する必要性を強く主張しています。顧客側としては、シャックルフォード氏はセキュリティチームに以下の要素が不可欠だと考えています。
- 現在使用されているセキュリティ管理を十分に理解していること
- ハイブリッド クラウド環境内で正常に運用するために、どのようなセキュリティ制御を変更する必要があるかをさらに深く理解します。
その理由について、シャックルフォード氏は次のように説明しています。「一部のセキュリティ制御は、社内で実行されていたのと同じようには機能しないか、クラウド サービス プロバイダーの環境では利用できないことがほぼ確実です。」
ITプロフェッショナルが確認すべき社内プロセス
Shackleford 氏は、次のような社内プロセスを検討することを提案しています。
構成の評価: Shackleford 氏は、セキュリティに関しては次の構成が特に重要だと述べています。
- オペレーティング システムのバージョンとパッチ レベル
- ローカルユーザーとグループ
- 主要ファイルの権限
- 実行中の強化されたネットワークサービス
脆弱性スキャン:シャックルフォード氏は、システムを継続的にスキャンし、インスタンスのライフサイクル中に発見された脆弱性を報告することを推奨しています。スキャンと発見された脆弱性の評価に関して、シャックルフォード氏は、ハイブリッドクラウド環境では通常、次のいずれかの方法が使用されると述べています。
- 従来の脆弱性スキャナーの一部ベンダーは、クラウド プロバイダー環境内で動作するように自社製品を適応させており、多くの場合、API を利用して、スケジュールに従ってまたはアドホックに、より侵入的なスキャンを実行するための手動リクエストを回避しています。
- それぞれの仮想マシンを継続的にスキャンできるホストベースのエージェントに依存します。
セキュリティ監視:ハイブリッドクラウド環境はほぼ常に仮想化されたマルチテナントサーバー上に構築されるため、顧客ごとに攻撃を監視することが困難です。「仮想インフラストラクチャの監視は、VM/コンテナ、仮想スイッチ、ハイパーバイザー、物理ネットワークなど、複数の場所で行われます」とShackleford氏は記しています。「ほぼすべてのクラウド環境において、真に活用できるのは、クラウドプロバイダーが提供するVM/コンテナ、またはソフトウェア定義ネットワークだけです。」
「監視ツールの設計における考慮事項には、ネットワーク帯域幅、専用接続の確保、そしてデータの集約/分析方法が含まれます」とシャックルフォード氏は続ける。「クラウドインスタンス内のサービス、アプリケーション、そしてオペレーティングシステムによって生成されたログとイベントは、自動的に収集され、中央の収集プラットフォームに送信される必要があります。」
参照:特別レポート:ハイブリッドクラウドの技術(無料PDF)(TechRepublic)
自動リモート ログに関して、Shackleford 氏は、ほとんどのセキュリティ チームが適切なログを収集し、それを安全な中央ログ サービスまたはクラウドベースのイベント管理プラットフォームに送信し、SIEM や分析ツールを使用して綿密に監視することについては既に理解していると考えています。
シャックルフォード氏によると、監視対象には限りがない。彼は以下の点を優先すべきだと考えている。
- 異常なユーザーログインまたはログイン失敗
- クラウド環境との間での大規模なデータのインポートまたはエクスポート
- 特権ユーザーのアクティビティ
- 承認されたシステムイメージの変更
- 暗号化キーへのアクセスと変更
- 権限とID構成の変更
- ログ記録と監視の構成の変更
- クラウドプロバイダーとサードパーティの脅威インテリジェンス
サイロとポイントソリューションが懸念事項
私たちは皆、サービスや製品によって窮地に追い込まれた経験があります。まさに同じ理由から、シャックルフォード氏は、異なるプロバイダーや環境間で柔軟性を提供しない単一ベンダーやクラウドネイティブのオプションは、どんなことがあっても避けるよう強く勧めています。
「一部のベンダー製品は特定の環境でしか動作せず、クラウドプロバイダーの組み込みサービスのほとんどは自社のプラットフォームでしか動作しません」と彼は説明します。「このようなサイロ化は、ビジネスニーズによって組織がマルチクラウド戦略へと移行する際に大きな問題を引き起こし、要件を満たすセキュリティ管理策の見直しが必要になる可能性があります。」
参照:クラウドコンピューティングとは?クラウドについて知っておくべきことすべてを解説(ZDNet)
シフトレフトセキュリティ
シャックルフォード氏は、シフトレフト・セキュリティの強力な提唱者です。これは、セキュリティに関する考慮事項を製品開発段階に近づけるという、シンプルながらも実装が難しい概念です。「言い換えれば、セキュリティは開発と運用のプラクティス、そしてインフラストラクチャに真に組み込まれているということです(このプラクティスはSecDevOpsまたはDevSecOpsと呼ばれることもあります)。」とシャックルフォード氏は記しています。「セキュリティチームとDevOpsチームは、使用が承認されているアプリケーションライブラリやOS構成など、様々な分野におけるIT組織標準を定義し、公開する必要があります。」
参照: DevSecOps チームがクラウドベースの資産を保護する: コラボレーションが重要な理由 (TechRepublic)
最後の注意
通常のデューデリジェンスに加えて、シャックルフォード氏は、データやプロセスをパブリッククラウドに移行する前に、既存のすべての管理とプロセスを徹底的にレビューし、ベースラインを設定することを提案しています。「これにより、関係するデータを適切に保護する機会が得られるだけでなく、パブリッククラウド環境で同等のセキュリティ機能を探す機会も得られます」とシャックルフォード氏はアドバイスします。「社内資産とクラウド資産の両方を一元管理できるツールを探してください。セキュリティチームと運用チームは、通常、複数のクラウドプロバイダー環境にまたがる複数の管理・監視ツールを管理するには手薄なため、対応が困難です。」
