従うべき IaaS セキュリティのベスト プラクティス

データを保護するために、IaaS セキュリティのベスト プラクティスに遅れないようにしてください。

サービスとしてのインフラストラクチャ (IaaS) のセキュリティに関する決定は、IaaS システムに固有の複雑さ、および場合によっては IaaS プラットフォームがリソースを保護する方法に対する可視性の欠如のために困難です。

あなたがビジネス オーナー、マネージャー、または IT プロフェッショナルである場合、IaaS セキュリティのベスト プラクティスに関するこのガイドは、資産を確実に保護するのに役立ちます。 IaaS に付随するセキュリティ リスクを見てから、それらを最小限に抑えるための最善のアプローチに進みましょう。

IaaS のセキュリティ リスク

IaaS システムの利便性、スケーラビリティ、メンテナンスの容易さにもかかわらず、特にデータ、コンピューティング、ネットワークを外部のサービス プロバイダーに委託する必要があるため、固有のセキュリティ リスクが伴います。

しかし、結局のところ、IaaS ソリューションで直面するセキュリティ リスクの多くは、インターネットに接続されたコンピューティング環境が直面するものと似ています。 知っておくべき主なリスクの一部を次に示します。

• データの流出。 IaaS ソリューションを使用すると、ビジネス データ ストレージ システムがインターネットに接続される可能性があり、ハッカーが機密情報を盗もうとする可能性があります。 データ関連のインシデントはしばしば「リーク」と呼ばれますが、実際には、複雑または高度な攻撃の結果として発生することがよくあります。

• データの損失: データの盗難とは異なり、データの損失は悪意のある行為や事故によって発生する可能性があります。 たとえば、システム内のデータの価値を理解していない従業員は、貴重なファイルを削除する可能性があります。 同時に、ランサムウェア攻撃の一環として、攻撃者がシステムに侵入し、意図的に情報を消去したり人質に取ったりする可能性もあります。

• 不正アクセス: ユーザーがオンプレミスのコンピューターとデバイスを使用する従来の環境とは異なり、IaaS セットアップには、正しい資格情報があれば誰でもインターネット経由でアクセスできます。 これは、すべてのユーザーが適切なサイバー衛生を実践しない限り、システムに侵入しようとする悪意のある攻撃者の手に資格情報が渡される可能性があることを意味します.

• 内部攻撃: 通常、内部攻撃は、不満を持った従業員や、サイバー スパイ計画の一環として報酬を得た従業員から発生します。 ただし、アクセス資格情報をまだ持っている元従業員が IaaS システムに侵入して問題を引き起こす場合があります。 退職者のアクセス権を削除することで、多くの内部関係者による攻撃を防ぐことができます。

• マルウェアとサービス拒否攻撃: すべてのサーバーベースの環境と同様に、IaaS ソリューションはマルウェアとサービス拒否攻撃の両方に対して脆弱になる可能性があります。 しかし、プロバイダーが次世代のファイアウォールと侵入検知システムを導入していれば、そのような攻撃の多くを防ぐことができます.

幸いなことに、特に次のベスト プラクティスを実践している場合は、これらの脅威によって IaaS モデルの採用が妨げられることはありません。

IaaS セキュリティのベスト プラクティス

ハッカーの活動が全体的に増加し、組織が最近さらされている種類の脅威にもかかわらず、システムを安全に保つためにできることはたくさんあります。 IaaS ソリューションに関して言えば、適切なセキュリティを確保するには、いくつかの重要な考慮事項が必要です。

プロバイダーの IaaS セキュリティ モデルを理解する

IaaS プロバイダーのセキュリティ モデルは、防御の主要なラインです。 ある意味で、IaaS 環境は、保管施設、銀行、ベビーシッターなど、大切なものの安全をリモート エンティティに委ねる他の状況とよく似ています。 あなたの生活に不可欠な要素を保護する方法を理解する必要があります。

以下に、IaaS プロバイダーに問い合わせるべきセキュリティ ツールと方法論をいくつか示します。

• アプリケーション プロトコル インターフェイス (API)を攻撃者から保護するために使用されるシステムは? API はインターネット経由でアクセスできるため、プロバイダーは、IaaS 環境を制御する API を安全に保つ方法を正確に説明できる必要があります。

• 侵入防止システム (IPS)と侵入検知システム (IDS) は、IaaS セキュリティ ソリューションの中心に位置する必要があります。 プロバイダーは、脅威をブロックするシステムを導入するだけでなく、疑わしいアクティビティを検出できるネットワーク監視ソリューションを使用する必要があります。

• 一部の IaaS プロバイダーは、ネットワーク セグメンテーションを使用して、個々のセキュリティ ソリューションをクラウド環境の特定の部分に適用します。 たとえば、ファイアウォールを使用してネットワークのある領域を分離し、別のファイアウォールがインフラストラクチャ全体を保護する場合があります。 これは、脅威がシステム内を横方向に移動するのを防ぐのに役立ちます。

• 特定のワークロードを保護するために仮想ファイアウォールが使用されていますか? IaaS プロバイダーは、ビジネスに不可欠なアプリケーションの前に配置できる仮想ファイアウォールを提供している場合があります。 一部の組織では、これにより、最も重要なワークロードを保護するための特別なレベルの信頼が得られます。

責任の共有に対するプロバイダーのアプローチを理解する

IaaS プロバイダーが自由に使用できるツールに関係なく、どのセキュリティ要素を担当し、どの要素が自分の肩にかかっているかを理解することが重要です。

たとえば、一部のプロバイダーは保存されたデータの安全性を保証する場合がありますが、多くのプロバイダーは、特に IaaS エコシステムで実行されるアプリケーションを提供するのはお客様 (クライアント) であるため、使用するアプリケーションが侵害から安全であることを約束しません。

厳密なアクセス プロトコルを設定する

厳密なアクセス プロトコルを使用すると、ハッカーにとって難易度が大幅に高まり、その結果、攻撃対象領域が大幅に縮小されます。

次のアプローチのいくつかを使用して、承認されていない個人が IaaS 環境に侵入するリスクを軽減できます。

• 役割ベースのアクセス制御 (RBAC)は、仕事をするためにネットワークのそのセグメントを必要とする人にのみアクセスを提供することに重点を置いています。 たとえば、経理担当者はおそらく Web 開発プラットフォームにアクセスする必要はなく、プログラマーはクライアント情報データベースにアクセスする必要はありません (それを使用するアプリを構築していない限り)。 アクセスできる人が少なければ少ないほど、システムが侵害を受ける可能性は低くなります。

• ゼロトラスト セキュリティの原則では、システムにアクセスしようとするすべての人、アプリケーション、およびネットワークが脅威であると想定しています。 身元が確認された後でのみ、ネットワークへの侵入が許可されます。 これは、従業員であっても、自分が誰であるかを再確認できない限り、数分前に終了したセッションに再参加する権利がないことを意味します.

• 多要素認証では、ユーザー名とパスワードに加えて、指紋スキャンや物理デバイスなど、身元を確認するための追加の方法を少なくとも 1 つ提供することをユーザーに強制します。

保管中のデータの暗号化

保管中のデータを暗号化することにより、その整合性を維持しながら、将来それを使用する可能性のあるシステムも保護します. ほとんどの IaaS プロバイダーでは、データ暗号化は当然のことです。

仕組みは次のとおりです。

1. IaaS プロバイダーは、アルゴリズムを使用してデータを暗号化し、設定された文字数に変換します。

2. IaaS ストレージ コンポーネントがキーを共有するシステムのみが、文字を解読して読み取り可能にすることができます。

3. 暗号化アルゴリズムは、元のファイルとその暗号化された形式を持っていても、暗号化システムを理解できないように設計されています。

その結果、誰かがシステムに侵入してプロバイダーのクラウド ストレージにアクセスしたとしても、破損または盗もうとしているデータを読み取ることはできません。

定期的な監視プロトコルとインベントリ

クラウド資産を定期的に監視することで、ユーザーと IaaS プロバイダーの両方が、悪意のあるアクティビティを示すネットワークの異常を検出できます。 ライフサイクルの早い段階で問題を発見することで、困難なビジネスの中断に発展するのを防ぐことができます。

たとえば、ネットワーク監視システムは、大量のデータが突然ネットワークから流出し始めたことを検出できます。 状況によっては、これは、外部の攻撃者が情報を盗んでいるか、内部の誰かが協力している悪意のあるアクターにデータを送信している兆候である可能性があります。 監視システムを導入すれば、このアクティビティをキャッチしてすぐに停止できます。

IaaS プロバイダーの観点から見たインベントリは、仮想マシンとそれらが担当するワークロードを指します。 IaaS インベントリを追跡することで、次のことが可能になります。

• 最も要求の厳しいワークロードがクラウド リソースによってどのように処理されるかを理解する

• 調整を行い、必要に応じて追加のリソースをリクエストします

• 脆弱性の原因となる可能性がある、ネットワーク資産の過負荷を防ぎます

一貫したパッチ適用

IaaS 環境と組み合わせて使用​​するオペレーティング システム (OS) とソフトウェアに一貫してパッチを適用すると、簡単に成果を上げようとするハッカーにとって困難になります。

たとえば、一部の攻撃者は、ソフトウェア プロバイダーが最近のリリースで対処済みの脆弱性を利用しようとします。 無料のパッチを適用するだけで、これらの攻撃者をパスで遮断できます。

これは、特にクラウド環境でどのソフトウェアを実行するかを決定するのは自分自身であるため、自分で背負わなければならない責任の 1 つです。 幸いなことに、多くの場合、パッチは迅速かつ簡単に適用できます。互換性の問題が心配な場合は、ソフトウェアまたは OS プロバイダーと簡単にチャットするだけで安心できます。