クラウド セキュリティについて尋ねるべき 9 つの重要な質問

1. クラウド環境のコンプライアンスはどの程度ですか?

クラウドで運用している企業組織には、規制やセキュリティ ポリシーに 100% 準拠した環境を備えている組織はありません。しかし、クラウド セキュリティを適切に実施している企業は、自社の環境がルールに準拠している部分と準拠していない部分を明確に把握しています。彼らが保証できるのは、発生する例外がルール外であること、そしてすべてが彼ら自身の優先順位に従ってルールに沿うようにすることです。

クラウド環境のセキュリティとコンプライアンスには常に注意する必要があります。クラウド セキュリティを担当するチームは、企業内のセキュリティ ポリシーの妥当性を定期的に確認し、ユース ケースと新たな攻撃ベクトルに対応していることを確認する必要があります。チームが準拠していないクラウド インフラストラクチャを特定するために使用するプロセス、チームが開発する修復手順、および解決にかかる時間を理解します。

2. いくつの脆弱性を特定し、排除しましたか?

クラウド セキュリティの体制は静的なものではありません。チームが脆弱性の特定と修復に熟練するにつれて、時間の経過とともに改善されます。クラウド環境にどれだけの構成ミスが存在し、毎日どれだけの脆弱性が修正されているかを理解する必要があります。

この作業には、監視ツールやチケット発行システムなど、多くの手作業が含まれることが多いため、チームがクラウド環境に伴う複雑な問題に対処できるように、自動化を活用する必要があります。ドメイン専門知識を持つクラウド セキュリティの専門家と協力して、今日の主要なクラウドの脆弱性がどのように発生するかを理解し、その知識を使用してアーキテクチャをコードとして実装し、クラウド インフラストラクチャに同じ脆弱性がないか自動的にチェックします。コードとしてのアーキテクチャとは、他のコードやランタイム環境で何が必要かをチェックすることです。これにより、クラウド コンピューティングのすべての関係者は、ソフトウェア開発ライフサイクルの両端でルールとその適用方法について曖昧さや意見の相違なく安全に運用できるようになります。

3. デプロイメントを構成することで、脆弱性がいくつ排除されましたか?

セキュリティ チームがクラウド環境でどのような脆弱性を発見し、修復したかを理解することだけでは、セキュリティ全体を把握することはできません。また、デプロイメントの誤った構成の頻度を減らすためにチームがどのような予防措置を講じているかも知りたいでしょう。クラウド セキュリティを事前に考慮しないと、クラウドの脆弱性が環境に絶えず流入し、終わりのないモグラ叩きゲームになってしまいます。

あなたのチームは継続的インテグレーションと継続的デリバリー (CI/CD) パスにセキュリティを組み込んでいますか?あなたのチームは、インフラストラクチャをコードとしてレビューして (クラウド インフラストラクチャをプログラムで構築および展開する方法)、展開前に誤った構成を検出して修正し、いつそれを実行した方が速く、簡単かつ安全であるかを判断していますか?ここでの答えが「いいえ」の場合、インフラストラクチャ・アズ・コードと CI/CD パスがまだ採用されていない可能性があります。しかし、これらが使用されている場合は、少なくともこれらの安全上の懸念をプロセスに組み込むための計画が用意されている必要があります。

4. クラウド API ネットワーク層のセキュリティは確保されていますか?

すべてのクラウド コンピューティングの脆弱性は同じパターンに従います。つまり、ネットワーク層が侵害されるということです。アプリケーション プログラミング インターフェイス (API) はクラウド コンピューティングの主要な推進力です。異なるアプリケーションが相互にやり取りできるようにする「ソフトウェアの仲介者」と考えてください。 API ネットワーク層は、クラウドを構成および操作するために使用される API のコレクションです。

ハッカーは構成上の脆弱性を探します。残念ながら、多くのベンダーのソリューションではクラウド コントロール プレーンから発生する攻撃から顧客を保護していないため、セキュリティ防御は依然としてハッカーのテクノロジーに遅れをとっています。率直に言って、ほとんどの企業は、ハッキングされるまでは、経営陣やセキュリティ チームの管理エクスペリエンスを向上させることに重点を置いています。これは非常によくあるセキュリティ茶番劇です。

5. 安全性は生産性をどの程度妨げますか?

クラウドはイノベーションのスピードがすべてであり、セキュリティはチームの開発とデジタル変革のスピードに影響を与える最大の要因です。アプリケーション開発者は、展開に必要なインフラストラクチャを待っていますか? DevOps チームはインフラストラクチャのセキュリティに関する承認を待っていますか?クラウド エンジニアは、会社と顧客のためにより多くの価値を生み出せるにもかかわらず、コンプライアンスに多くの時間を費やしていませんか?

開発者と DevOps のスループットを定期的に測定すると、生産性と士気を低下させる可能性のある、不適切なセキュリティ プロセスによって発生する遅延を特定するのに役立ちます。

6. セキュリティポリシーをどのように表現しますか?

この質問には 2 つの答えがあります。1 つは、人間の言語で記述して人間がレビューすることです。もう 1 つは、ポリシーをコードとして記述することです。答えが前者の場合、クラウド環境では適切なセキュリティを確保できません。手動レビューが有効になるまでには時間がかかりますが、クラウドの脆弱性が悪用されるには数分しかかかりません。また、人為的ミスやコンパイルの不一致のリスクも常に存在します。

ポリシーをコードとして使用すると、マシンはいつでもどこでもまったく同じようにポリシーを解釈します。つまり、より多くのクラウド インフラストラクチャを継続的に評価できるようになり、多数の人員を使用するよりもはるかに優れた結果が得られます。セキュリティ ポリシーの適用をあるデプロイメントから別のデプロイメントに変更する必要がある場合は、それらの例外をコードに変換して、すべてが追跡可能になるようにすることができます。セキュリティ自動化を実装すると、本番環境に移行する前に開発中または展開中に問題を見つけて修正できます。

7. ゼロデイ攻撃にどれくらい早く対応できますか?

今年初めに発生した Log4j の脆弱性により、世界中のセキュリティ チームが対応に追われました。 「ゼロデイ攻撃」では、タイムリーな対応と修復措置を講じることができるように、チームが脆弱性の場所と重大度を迅速かつ正確に評価する必要があります。

チームは、アプリケーションの脆弱性を迅速に特定できるだけでなく、各脆弱性が引き起こす可能性のある損害を評価し、重大度に基づいて修正の優先順位を決定できる必要があります。

8. すべてのチームに成功に必要な資質がありますか?

エンタープライズ セキュリティにはサイロは存在しません。情報セキュリティを確保するには、チームやコストにまたがる包括的なアプローチが必要であり、それを実現するには経営陣のサポートと多額の予算が必要です。セキュリティ確保の成功は、経営陣のサポートと適切な予算および時間の投資にかかっています。

9. 失敗したらどうなりますか?

CISO を除いて、実際にこの質問を自問している経営幹部はほとんど見かけません。最終的に CIO の辞任につながった Imperva (セキュリティ製品に重点を置く企業) でのクラウド侵害を考えると、これは想像に難くありません。その後、キャピタル・ワンの情報漏洩事件が発生しましたが、これは現在に至るまで大手金融機関における最悪の情報漏洩事件の一つとなっています。今年初めにはTwitchの漏洩事件もあり、Twitch自体だけでなく親会社であるAmazonにも影響が及んだ。パットン将軍がロンメル将軍を打ち負かしたのとは異なり、ビジネスリーダーには勝利はなく、常に敗北を避けようと努めています。

クラウド セキュリティは終わりのないビジネスです。組織のクラウド セキュリティ体制に関する継続的なレポートを要求するポリシーを作成する必要があります。脆弱性を特定して修正するために何をしているのか、先週/先月に修正された脆弱性はいくつあるのか、ニュースの見出しになるような脆弱性にさらされる可能性がある場所はどこか、といった質問に毎日苦労したくないのであれば、これらの質問に積極的に答える必要があります。

出典: www.infoworld.com

WeChat翻訳: Viki