ハイブリッドクラウドセキュリティとは

ハイブリッドクラウドセキュリティとは、プライベートクラウド、パブリッククラウド、オンプレミスのインフラストラクチャの要素を統一されたアーキテクチャに統合してデータとインフラストラクチャを保護するツールやプロセスを集めたものです。ハイブリッドクラウドは、これらの要素を組み合わせたIT環境です。ハイブリッドクラウドは柔軟性が高く、ワークロードを異なる環境に迅速に移動して他の環境で提供されているより優れた機能を活用できます。

ハイブリッドクラウドアーキテクチャを使用する強い動機があっても、この記事で説明する追加のセキュリティ上の課題も伴います。まず、ハイブリッドクラウドのユースケースを見ていきましょう。

ハイブリッドクラウドセキュリティの課題

ハイブリッドクラウドは、モノクラウドインフラストラクチャのセキュリティ上の欠点を解決または改善するものではありません。それどころか、ハイブリッドクラウドには次のようなハイブリッドクラウドセキュリティの課題があります。

アプリケーションが複数のクラウドに分散されている場合、クラウドを相互に接続してデータを送信する必要があります。これは、クラウド間のトラフィックは安全で暗号化される必要があることを意味します。複数のクラウドインフラストラクチャ間でエンドツーエンドの安全な接続を作成することは、主にネットワークモデルが異なる場合に困難になります。

各クラウドで提供されているセキュリティ機能は、そのクラウドのサービスとインフラストラクチャの保護に重点を置いています。例えば、AWSのIAMロールを使用してクラウドリソースへのアクセスを制限できますが、それらはAWSインフラストラクチャ内で実行されているワークロードに対してのみ機能します。

ネットワーク設定は、すでに単一のクラウドサービスでさえ困難になっていますが、さまざまなクラウドのサービスが混在するとさらに複雑になります。例えば、プライベートクラウド環境を作成するには、Amazon Virtual Private Cloud (VPC)、Azure Virtual Network (VNet)、Google Virtual Private Cloud (VPC) を個別に設定する必要があります。これらの環境に十分な注意が払われていない場合、または一部のパラメーターが省略されている場合には、セキュリティ侵害は避けられません。

複数のクラウドインフラストラクチャを接続している場合、リアルタイムの脅威検出システムは、クラウドやオンプレミス間のトラフィックを、悪意のあるものや少なくとも通常とは異なるものとして誤って識別することで、誤ったアラームを発生させる可能性があります。インフラストラクチャ全体がより複雑になった場合は、実際のセキュリティ侵害を捕捉するために、モニタリングおよびアラートシステムを詳細に設定する必要があります。

GCP Secret ManagerやAWS Secrets Managerなどのクラウドシークレットマネージャーは、パスワード、キー、証明書、その他の機密データを保存するための優れたツールです。ただし、これらは各社独自のクラウドプラットフォームで動作するように設計されています。ハイブリッドインフラストラクチャ上でシークレットを配布および管理するには、Vaultのような外部の一元管理ツールを実装する必要があります。

ハイブリッドクラウドセキュリティの3つのコンポーネント

統合インフラストラクチャを構築するには、物理的、技術的、管理的な制御の3つの重要なコンポーネントがあり、これらが調和して機能します。

1. 物理的制御

サービスレベル契約

組織によっては、パブリッククラウドプロバイダーとサービスレベル契約 (SLA) を結んでいる場合があります。これは本質的に、満たさなければならない物理的なセキュリティ基準の要点をまとめた取り決めです。これは、権限を持たない特定の従業員が物理ハードウェアにアクセスできないようにするのに役立ちます。物理ハードウェアが悪意のある人の手に渡ると、危険な事態に陥る可能性があります。

2. 技術的制御

ネットワーキング

複数のクラウドインフラストラクチャ間の接続により、ハイブリッドクラウドのセットアップが実現されます。オンプレミスとクラウド間の直接ネットワーク接続またはVPNトンネルは、最も一般的なソリューションであり、直接接続がプライマリの方法であって、VPNがスタンバイであるときは、ほとんどの場合、一緒に使用されます。

暗号化

暗号化により、データをエンコードして、許可された関係者のみがアクセスできるようになります。異なるインフラストラクチャやクラウドサービスを相互に接続している場合、ハイブリッドクラウド環境のクラウドプロバイダーの1つが提供する外部ソリューションを使用することで、安全で暗号化された通信が簡単に実現されます。

認証

ハイブリッドクラウドは、アプリケーションが他のクラウドプロバイダーのサービスを利用できる環境を作成します。例えば、クラウドA（またはオンプレミス）のワークロードをクラウドBに対して認証する必要があるとする場合、これは一連の認証情報を使用して行われます。

これらの認証情報は、特に配布方法など、慎重に管理する必要があります。このような認証情報が漏洩すると、壊滅的な結果を招く可能性があるためです。また、それらは定期的なローテーションが必要です。そのため、異なるインフラストラクチャ上に存在するアプリケーションを接続するためのハイブリッドクラウドセキュリティアーキテクチャが強く求められています。

クラウドの検出と可視性は、分散したインフラストラクチャでこれらのコンポーネントを管理、設定、監視するために不可欠です。Falcon Cloud Securityは、CSPM（クラウドセキュリティポスチャ管理）に主眼を置いて設定ミスや潜在的な脅威を検出し、AWS、Azure、Google Cloudなどのクラウドプロバイダーの垣根を越えてコンプライアンスを確保します。

3. 管理的制御

災害への準備

ハイブリッドクラウドを常時機能させるために不可欠なのは、必要に応じて開始できる災害対策計画を用意することです。計画には主要な役割と任務を説明することで、すべての利害関係者が災害発生時に実行することを把握できるようにする必要があります。また、これらの利害関係者には、データを完全に復元するために従う必要のある主要な手順を説明する必要があります。

最終的に、災害対策計画は人的エラーについても考慮する必要があります。ハイブリッドクラウドは環境間で強固に相互接続されているため、セキュリティはすべてのクラウドのユーザーが重要視する必要があります。

ベストプラクティス

ハイブリッドクラウドの保護は、その複数のコンポーネントと分散型の性質のため困難です。そのため、業界ですでに受け入れられている一般的なベストプラクティスで開始することが理想的です。

• ネットワークとセキュリティの専門家は、ネットワークトポロジーを慎重に確認する必要があります。
• 情報漏洩を防ぐために、シークレット（認証情報、証明書、キー、パスワード）の管理を慎重に計画してください。また、証明書とシークレットを定期的にローテーションする必要があります。
• コンテナイメージをスキャンして脆弱性がないか確認し、安全なイメージのみを展開する必要があります。脆弱性を早期に特定し、DevSecOpsの原則を自動化するため、CrowdStrike Falcon® Container Securityの詳細をご確認ください。
• 継続的な監査を実行することで、リアルタイムの可視性とコンプライアンスチェックが実現します。
• 新しいアプリケーション、環境、ツールにゼロトラストアプローチを実装します。

まとめ

ハイブリッドクラウドにより、オンプレミスシステムとクラウドプロバイダーを最大限利用できます。ただしこの場合、1つのクラウドであらゆることを実行する場合に比べて、新たなセキュリティ上の課題が伴います。ハイブリッドクラウドセットアップのメリットは、システム全体のセキュリティ確保のための追加コストを正当化できる可能性が高いことです。さらに、一般的なセキュリティとネットワーキングの専門家、およびシステム設計に含まれる各クラウドベンダーを専門とするエンジニアが協力することが重要です。

クラウドストライクは、ワークロードセキュリティ、CSPM、コンテナセキュリティのためのエンドツーエンドのクラウドセキュリティソリューションを提供します。今すぐ無料トライアルを開始して、お使いのハイブリッドクラウド環境をすべての脅威からすばやく簡単に保護してください。