ハイブリッドクラウド環境におけるセキュリティ対策

基本的に、完全にクラウドベースである、またはクラウドをまったく使用していない現代の企業は存在しません。ほぼすべての企業がビジネスにクラウドを導入する方向に進んでおり、クラウド サービス、クラウド インフラストラクチャ、企業ベースのテクノロジーを組み合わせたハイブリッド環境が、今日のほとんどの企業にとって現実のものとなっています。 Microsoft の「2017 ハイブリッド クラウドの状況」レポートによると、約 3 分の 2 の企業がハイブリッド クラウド環境で運用していることを認めており、さらに 18% の企業の IT 環境がハイブリッド クラウドに分類できるとのことです。

[[273924]]

ハイブリッド環境はクラウドのデフォルトの使用例になりつつあり、「実用的なハイブリッド クラウド」(パブリック クラウド インフラストラクチャとプライベート クラウド インフラストラクチャの組み合わせ) という用語は、エンタープライズ IT の混沌とし​​た現実とハイブリッド クラウドの標準的な定義を区別するために使用できます。そして、実用的なハイブリッドクラウドが現在のトレンドであると考える人もいます。

企業内の社内ネットワークとクラウドサービスを統合した IT 環境は、一般的に混沌としており、セキュリティを確保することが困難です。専門家は、企業はIT環境のセキュリティを保護するために特定の方法を抽象化し、セキュリティ対策の導入を容易にするためにインフラストラクチャを簡素化する必要があると述べている。多くの企業にとって、ハイブリッド クラウドの最大の問題は、セキュリティを無視して、あまりにも急速に、そして広範囲に展開しすぎていることです。企業の中には、試験的なプロセスを省略して、一夜にして大儲けしようと思い、本格的な導入に踏み切るところもあります。しかし、その結果、クラウド プロジェクトの実行に苦労することになります。

たとえば、経営陣は「私たちはクラウドに向かって進んでいます」という方向性を直接示しました。しかし、セキュリティポリシーの集中管理対策はまったく整っていません。その結果、クラウド プロジェクトは巨大で醜い混乱に陥ります。既存のオンプレミス アプリケーションをクラウドに移行するよりも、新しいプロジェクトを最初から開始する方が適切です。多くのクラウド セキュリティ プロバイダーは資産インベントリに重点を置いていますが、企業の資産をすべて検出することは本当に可能なのでしょうか?さらに、出発点として、既存のアプリケーションを移行するために必要な作業量が大きすぎます。最も賢明なアプローチは、管理可能な量の作業から始めることです。

ほとんどの企業はすでに、クラウド内のデータがどれだけ安全であるかについて懸念を抱いています。しかし、これらの企業は、社内のインフラストラクチャ内のデータは攻撃者から安全であると想定し続けています。しかし、ある時点では安全だと思われていた内部ネットワークにも、攻撃者が必ずアクセスする可能性があることを認識する必要があります。企業がセキュリティを理解する上で犯す最大の間違いは、自社の内部環境が安全であると想定することです。これは、Equifax や Target などの企業によって証明されています。

ハイブリッド環境で作業していると考えている人は、正しい認知経路から外れています。正しい想定は、私が所有するすべてのものはインターネットに公開されており、ゼロ トラスト環境で動作する必要がある、というものです。ゼロ トラストの考え方はアプリケーションに反映される必要があり、すべてのアプリケーションは他のアプリからのすべての通信を検証する必要があります。デバイスが急増するにつれ、ビジネス データを保存できる場所の数は、40 年前のメインフレームから 30 年前の PC、そして過去 10 年間のモバイル デバイスやクラウドまで、飛躍的に増加しました。

ただし、データは依然として同じデータです。データがどこに保存されているかに関係なく、データのセキュリティは保証される必要があり、悪意のある人物のデータに対する欲求は決して減少していません。多くの企業は、ネットワーク制御を通じて情報へのアクセスを制限することで、データのセキュリティを保護しようとしています。しかし、ハイブリッド環境では、ネットワーク中心のモデルは意味がありません。本当に大切なもの、つまりデータに集中する必要があります。データは企業にとって最も重要な資産です。ネットワークも機器も最も重要なものではありません。あなたのデータはそうです。優れた CISO は、環境全体が感染していると想定し、この前提に基づいてデータを保護します。

従業員は職場で平均 36 個のクラウド サービスを使用します。企業のハイブリッド クラウドとオンプレミス環境全体の複雑さを軽減するには、これらの ID を可能な限り統合する必要があります。 AWS や Microsoft Azure などのほとんどのクラウド プロバイダーは、ユーザー ID を統合する方法を提供しています。 ID 管理プロバイダーは、さまざまなエンタープライズ サービスにアクセスするための統合ポータルもユーザーに提供します。これらの機能により、企業はアクセス制御を標準化できます。フェデレーション ID は間違いなく非常に重要です。何も無茶なことはしたくないかもしれませんが、フェデレーション ID ブローカーを購入することは間違いなくお勧めです。ほとんどの人は、Web ポータルから自分の環境にログインしたいと考えています。

ただし、簡単な方法がない限り、オンプレミスとクラウドの ID を結び付けることは期待しないでください。内部アプリケーションは内部のままであり、これまでと同じ方法で管理できます。組織は、ID を統合し、一貫したデータ保護を維持するだけでなく、さまざまなアプリケーションがワークフローに接続する方法を理解し、接続を可視化する必要もあります。誰がどのデータに対してどのようなワークロードを実行しているかを把握することで、インフラストラクチャ全体の管理を改善し、潜在的なセキュリティ問題を警告することができます。

これは最も理解するのが難しいことかもしれませんが、組織は接続を可視化する必要があります。この可視性は、ログ ファイルの収集と処理を自動化することで向上できます。しかし、それでも、企業ネットワークやクラウド インフラストラクチャ上で発生するすべての事象を観察できる可能性は低いでしょう。これは通常の意味での可視性とは異なります。常にすべてのネットワーク トラフィックを監視することはできません。

ユーザー ID が一意になり、クラウド プロジェクトの各反復で可視性が高まるにつれて、企業は徐々に戦略の改善に重点を置く必要があります。クラウドとオンプレミスのアーキテクチャ全体に統一されたポリシー セットを適用することで、IT セキュリティ チームはセキュリティ ビューを高レベルで簡素化できます。つまり、データが保存される場所を考慮せずにポリシーを定義します。ポリシーを特定のサービスまたはストレージ メディアにマップするだけです。 Exchange 経由で共有されるデータと Slack 経由で共有されるデータには異なるルールが適用されますが、ポリシーは一貫しています。

これらの戦略は、可視性の向上とともに、異常な行動を捕捉する機会も企業に提供します。 IT セキュリティ チームは、ルールを設定し、悪意のある動作を探すことで攻撃を検出し、被害が発生する前に攻撃者を捕まえることができます。あらゆるクラウド プロジェクトの反復ごとにセキュリティを向上させるには、組織は作業の有効性を測定できるデータを必要とします。成功をどのように測定するかが重要です。クラウド セキュリティの場合、使用されているクラウド サービスの数と、これらのクラウド サービスのうちセキュリティ ポリシーでカバーされているサービスの数を簡略化できます。

メトリックがなければ、ハイブリッド インフラストラクチャを管理することはできません。すべてのドライバーが車の状態を知るためにダッシュボードを必要とするのと同じです。企業のクラウド プロジェクトが拡大するにつれて、可視性の重要性も高まります。複雑さの問題は悪化する一方です。したがって、企業や政府機関は、複雑さが手に負えなくなる前に、それに対処する方法を見つける方がよいでしょう。