ハイブリッドクラウドセキュリティとは
ハイブリッドクラウドセキュリティは、データとインフラストラクチャを保護するために設計されたツールとプロセスのコレクションで、プライベートクラウド、パブリッククラウド、オンプレミスのインフラストラクチャの要素を、統一されたアーキテクチャに組み合わせています。ハイブリッドクラウドは、これらの要素を組み合わせたIT環境です。ハイブリッドクラウドは、ワークロードのさまざまな環境への迅速な移動に対して、それらの環境で提供される優れた機能を利用する高い柔軟性を提供します。
ハイブリッドクラウドアーキテクチャを使用する強い動機があっても、この記事で説明する追加のセキュリティ上の課題も伴います。まず、ハイブリッドクラウドのユースケースを見ていきましょう。
ハイブリッドクラウドセキュリティの課題
ハイブリッドクラウドは、モノクラウドインフラストラクチャのセキュリティ上の欠点を解決または改善するものではありません。それどころか、ハイブリッドクラウドには次のようなハイブリッドクラウドセキュリティの課題があります。
アプリケーションが複数のクラウドに分散されている場合、クラウドを相互に接続してデータを送信する必要があります。これは、クラウド間のトラフィックは安全で暗号化される必要があることを意味します。複数のクラウドインフラストラクチャ間でエンドツーエンドの安全な接続を作成することは、主にネットワークモデルが異なる場合に困難になります。
各クラウドオファリングのセキュリティ機能は、自身のサービスとインフラストラクチャの保護に重点を置いています。例えば、クラウドリソースへのアクセスをAWS IAMのロールを使用して制限できますが、それらはAWSインフラストラクチャ内で実行されているワークロードに対してのみ機能します。
単一のクラウドサービスですでに難易度が高くなっているネットワーク設定は、さまざまなクラウドオファリングサービスが存在すると、より複雑になります。例えば、プライベートクラウド環境を作成するには、Amazon Virtual Private Cloud (VPC)、Azure Virtual Network (VNet)、Google Virtual Private Cloud (VPC) を個別に設定する必要があります。セキュリティ侵害は、これらの環境に十分な注意が払われていない場合、または一部のパラメーターがスキップされている場合に回避できません。
複数のクラウドインフラストラクチャを接続している場合、リアルタイムの脅威検出システムは、クラウドやオンプレミス間のトラフィックを、悪意のあるものや少なくとも通常とは異なるものとして誤って識別することで、誤ったアラームを発生させる可能性があります。インフラストラクチャ全体がより複雑になった場合は、実際のセキュリティ侵害を捕捉するために、モニタリングおよびアラートシステムを詳細に設定する必要があります。
GCP Secret ManagerやAWS Secrets Managerなどのクラウドシークレットマネージャーは、パスワード、キー、証明書、その他の機密データを保存するための優れたツールです。ただし、これらは独自のクラウドプラットフォームで動作するように設計されています。ハイブリッドインフラストラクチャ上でシークレットを配布および管理するには、Vaultなどの一元管理ツールと外部ツールを実装する必要があります。
ハイブリッドクラウドセキュリティの3つのコンポーネント
統合インフラストラクチャを構築するには、物理的、技術的、管理的な制御の3つの重要なコンポーネントがあり、これらが調和して機能します。
1. 物理的制御
サービスレベル契約
組織によっては、組織のパブリッククラウドプロバイダーとサービスレベル契約 (SLA) を結んでいる場合があります。これは、基本的に満たすべき物理的なセキュリティ基準を概説した契約です。これは、権限を持たない特定の従業員による物理ハードウェアにアクセスするのを防ぐのに役立ちます。権限が悪意のある人の手に渡った場合には、悪影響を及ぼす可能性があります。
2. 技術的制御
ネットワーキング
複数のクラウドインフラストラクチャ間の接続により、ハイブリッドクラウドのセットアップが実現されます。オンプレミスとクラウド間の直接ネットワーク接続またはVPNトンネルは、最も一般的なソリューションであり、直接接続がプライマリの方法であって、VPNがスタンバイであるときは、ほとんどの場合、一緒に使用されます。
暗号化
暗号化により、データをエンコードして、許可された関係者のみがアクセスできるようになります。異なるインフラストラクチャやクラウドサービスを相互に接続している場合、ハイブリッドクラウド環境のクラウドプロバイダーの1つが提供する外部ソリューションを使用することで、安全で暗号化された通信が簡単に実現されます。
認証
ハイブリッドクラウドは、アプリケーションが他のクラウドプロバイダーのサービスを利用できる環境を作成します。例えば、クラウドA(またはオンプレミス)のワークロードをクラウドBに対して認証する必要があるとする場合、これは一連の認証情報を使用して行われます。
これらの認証情報は、特に配布方法など、慎重に管理する必要があります。このような認証情報が漏洩すると、壊滅的な結果を招く可能性があるためです。また、それらは定期的なローテーションが必要です。そのため、異なるインフラストラクチャ上に存在するアプリケーションを接続するためのハイブリッドクラウドセキュリティアーキテクチャが強く求められています。
クラウドの検出と可視性は、分散したインフラストラクチャでこれらのコンポーネントを管理、設定、監視するために必要です。Falconクラウドセキュリティは、クラウドセキュリティポスチャ管理 (CSPM) に焦点を当てて設定ミスや潜在的な脅威を検出し、AWS、Azure、Google Cloudなどの複数のクラウドプロバイダー全体のコンプライアンスを確保します。
3. 管理的制御
災害への準備
ハイブリッドクラウドを常時機能させるために不可欠なのは、必要に応じて開始できる災害対策計画を用意することです。計画には主要な役割と任務を説明することで、すべての利害関係者が災害発生時に実行することを把握できるようにする必要があります。また、これらの利害関係者には、データを完全に復元するために従う必要のある主要な手順を説明する必要があります。
最終的に、災害対策計画は人的エラーについても考慮する必要があります。ハイブリッドクラウドは環境間で強固に相互接続されているため、セキュリティはすべてのクラウドのユーザーが重要視する必要があります。
ベストプラクティス
ハイブリッドクラウドの保護は、その複数のコンポーネントと分散型の性質のため困難です。そのため、業界ですでに受け入れられている一般的なベストプラクティスで開始することが理想的です。
- ネットワークとセキュリティの専門家は、ネットワークトポロジーを慎重に確認する必要があります。
- 情報漏洩を防ぐために、シークレット(認証情報、証明書、キー、パスワード)の管理を慎重に計画してください。また、証明書とシークレットを定期的にローテーションする必要があります。
- チームはコンテナイメージの脆弱性をスキャンして、安全なイメージのみを展開する必要があります。早期に脆弱性を特定して、DevSecOpsの原則を自動するためにCrowdStrike Falcon®コンテナセキュリティを確認できます。
- 継続的な監査を実行することで、リアルタイムの可視性とコンプライアンスチェックが実現します。
- 新しいアプリケーション、環境、ツールにゼロトラストアプローチを実装します。
まとめ
ハイブリッドクラウドにより、オンプレミスシステムとクラウドプロバイダーを最大限利用できます。ただしこの場合、1つのクラウドであらゆることを実行する場合に比べて、新たなセキュリティ上の課題が伴います。ハイブリッドクラウドセットアップのメリットは、システム全体のセキュリティ確保のための追加コストを正当化できる可能性が高いことです。さらに、一般的なセキュリティとネットワーキングの専門家、およびシステム設計に含まれる各クラウドベンダーを専門とするエンジニアが協力することが重要です。
クラウドストライクは、ワークロードセキュリティ、CSPM、およびコンテナセキュリティにエンドツーエンドのクラウドセキュリティソリューションを提供します。今すぐ無料トライアルを開始して、お使いのハイブリッドクラウド環境をすべての脅威からすばやく簡単に保護してください。