ハイブリッドクラウドのセキュリティとは

掲載 2019年 2月 5日10 分 (読了時間の目安)
URL をコピー

概要

ハイブリッドクラウドのセキュリティとは、少なくとも 1 つのパブリッククラウドまたはプライベートクラウドを含む複数の IT 環境にわたって、ある程度のワークロードの可搬性、オーケストレーション、および管理を組み込んだ IT アーキテクチャに関連付けられたデータ、アプリケーション、およびインフラストラクチャを保護することです。

ハイブリッドクラウドの場合、データ漏洩の可能性を減らすことができます。機密データや重要なデータについてはパブリッククラウドを使わず、それらのデータのようなリスクのないデータについてはクラウドを活用することができます。

e ブック:ハイブリッドクラウド・セキュリティを強化する 

セキュリティを強化するためにハイブリッドクラウドを選択する理由

ハイブリッドクラウドにより、コンプライアンス、監査、ポリシー、セキュリティ要件に基づいてワークロードとデータを配置する場所を選択できるようになります。

ハイブリッドクラウドを構成するさまざまな環境はそれぞれ固有であり、個別のエンティティとして維持されますが、それらの間の移行は、リソースとワークロードの転送に役立つコンテナや暗号化されたアプリケーション・プログラミング・インタフェース (API) によって容易にできます。この個別でありながらも接続されたアーキテクチャにより、重要なワークロードをプライベートクラウドで実行し、機密性の低いワークロードをパブリッククラウドで実行することが可能になります。データの露出を最小限に抑えるこのような配置により、企業は柔軟な IT ポートフォリオをカスタマイズできます。

ハイブリッドクラウド・セキュリティ評価を開始

ハイブリッドクラウド・セキュリティの課題とは

データの保護

暗号化を通じて組織のデータの露出を制限します。同じデータが、タイミングによって移動中のときもあれば保管中のときもあります。どちらの状態でもデータの露出を制限するには、さまざまなセキュリティが必要です。

コンプライアンスとガバナンス

医療、金融、政府などといった規制の厳しい分野で働いている場合は、ハイブリッドクラウド・インフラストラクチャに関して追加の考慮事項が生じる可能性があります。分散環境が準拠しているかどうかを確認する方法、カスタムまたは規制のセキュリティ・ベースラインを実装する方法、セキュリティ監査の準備方法を理解しておきましょう。

サプライチェーンのセキュリティ

ハイブリッドクラウド環境には、複雑なエコシステム内の複数のベンダーの製品やソフトウェアが含まれることがよくあります。ベンダーがソフトウェアと製品をどのようにテストし、管理しているかを把握しましょう。 ベンダーがいつ、どのようにソースコードを検査したか、ベンダーがどの実装ガイドラインにどのように従っているか、ベンダーがいつ、どのように更新とパッチを提供できるかを理解します。

Red Hat のリソース

ハイブリッドクラウド・セキュリティのコンポーネント

一般的なコンピューターセキュリティと同様、ハイブリッドクラウド・セキュリティは物理、技術、管理という 3 つのコンポーネントで構成されます。

物理的制御は、実際のハードウェアを保護するためのものです。例としては、鍵をかけることや、警備員、防犯カメラなどが挙げられます。

技術的制御は、暗号化、ネットワーク認証、管理ソフトウェアなど、IT システム自体に組み込まれた保護機能です。ハイブリッドクラウド向けの最も強力なセキュリティツールの多くは技術的な制御です。

最後に、管理的制御は、トレーニングや災害計画など、セキュリティを強化する方法で人々が行動するよう支援するプログラムです。

チェックリスト:クラウドコンピューティング環境における 6 つのセキュリティ上のメリット

ハイブリッドクラウド・セキュリティの物理的制御

ハイブリッドクラウドは複数の場所にまたがる可能性があるため、物理的なセキュリティが特別な課題となります。すべてのマシンの周囲に境界を構築してそのドアをロックすることはできません。

パブリッククラウドのような共有リソースの場合、クラウドプロバイダーとサービスレベル契約 (SLA) を締結して、どの物理的なセキュリティ標準を満たすかを定義することがあります。たとえば、政府系クライアントの場合、一部のパブリッククラウドプロバイダーは物理ハードウェアにアクセスできる担当者を制限しています。

しかし、優れた SLA があっても、パブリッククラウドプロバイダーに依存すると、ある程度の制御を放棄することになります。これはつまり、他のセキュリティ制御がさらに重要になるということです。

ハイブリッドクラウド・セキュリティの技術的制御

hybrid management diagram

技術的制御は、ハイブリッドクラウド・セキュリティの中心となります。ハイブリッドクラウドの一元管理により、技術的制御の実装が容易になります。

ハイブリッドクラウドで使用できるツールの中でも特に強力な技術的制御には、暗号化、自動化、オーケストレーション、アクセス制御、エンドポイント・セキュリティなどがあります。

暗号化

暗号化により、物理マシンが侵害された場合でも、読み取り可能なデータが公開されるリスクが大幅に軽減されます。

保管中のデータおよび移動中のデータを暗号化できます。その方法は以下の通りです。

保管中のデータの保護:

  • フルディスク (パーティション) 暗号化により、コンピューターの電源がオフのときでもデータが保護されます。たとえば、ハードドライブのパーティションを一括で暗号化できる Linux Unified Key Setup-on-disk (LUKS) 形式があります。
  • ハードウェア暗号化により、ハードドライブを不正アクセスから保護します。たとえば、暗号キーを保存するハードウェアチップの Trusted Platform Module (TPM) があります。TPM を有効化すると、ハードドライブはユーザーのログインが認証されるまでロックされます。
  • パスワードを手動で入力せずにルートボリュームを暗号化します。高度に自動化されたクラウド環境を構築した場合は、その環境に基づいて自動暗号化を構築します。Linux を使用している場合は、物理マシンと仮想マシンの両方で動作する Network Bound Disk Encryption (NBDE) があります。ボーナス:TPM を NBDE の一部として使用することで、2 層のセキュリティが得られます (NBDE はネットワーク環境の保護に役立ち、TPM はオンプレミスで動作します)。

移動中のデータの保護:

  • ネットワークセッションを暗号化します。移動中のデータは、傍受や改ざんのリスクがはるかに高くなります。暗号化を使用するインターネット・プロトコルの拡張機能であるインターネット・プロトコル・セキュリティ (IPsec) を使いましょう。
  • セキュリティ標準がすでに実装されている製品を選択します。 連邦情報処理標準 (FIPS) 140-2 をサポートする製品を探してください。その製品は暗号化モジュールを使用して高リスクのデータを保護します。

自動化

手動による監視とパッチ適用の欠点を考えてみれば、自動化がハイブリッドクラウドに適している理由を理解できます。

手動でセキュリティとコンプライアンスを監視することは、往々にしてメリットよりもリスクのほうが大きくなります。手動でのパッチ適用と構成管理は、同期することなく実装されるリスクがあります。また、セルフサービスシステムの実装も難しくなります。セキュリティ侵害が発生した場合、手動でパッチ適用と構成を行うとその記録が失われるリスクがあります。それにより、チーム内の争いや責任の押し付け合いに発展する可能性があります。さらに、手動のプロセスではエラーが発生しやすくなり、時間がかかる傾向があります。

それとは対照的に、自動化することで、リスク発生後に対応するのではなく、リスクに先手を打つことができます。自動化により、ルールの設定、共有、プロセスの検証が可能になり、最終的にはセキュリティ監査に容易に合格できるようになります。ハイブリッドクラウド環境を評価する際には、次のプロセスを自動化することを検討してください。

  • 環境の監視
  • データの管理
  • コンプライアンスの確認
  • パッチの適用
  • カスタムまたは規制のセキュリティ・ベースラインの実装

オーケストレーション

クラウドのオーケストレーションは、さらに一歩進んだものです。自動化は特定の材料を定義することであり、オーケストレーションはそれらの材料を組み合わせるレシピ集と考えることができます。

オーケストレーションにより、クラウドリソースとそのソフトウェア・コンポーネントを 1 つのユニットとして管理できるようになり、テンプレートを通じて反復可能な自動化された方法でデプロイできます。

オーケストレーションがセキュリティにもたらす最大のメリットは標準化です。導入されたシステムがセキュリティとコンプライアンスの基準を満たしていることを保証しながら、クラウドの柔軟性を得ることができます。

アクセス制御

ハイブリッドクラウドもアクセス制御に依存します。ユーザーアカウントには必要な権限のみを付与するよう制限し、2 要素認証を要求することを検討してください。アクセスを仮想プライベートネットワーク (VPN) に接続しているユーザーのみに制限することも、セキュリティ標準の維持に役立ちます。

エンドポイントのセキュリティ

エンドポイントのセキュリティとは、多くの場合、ユーザーのスマートフォン、タブレット、またはコンピューターが紛失、盗難、またはハッキングされた場合に、ソフトウェアを使用してリモートでアクセスを取り消したり、機密データを消去したりすることを意味します。

ユーザーはどこからでも個人のデバイスを使用してハイブリッドクラウドに接続できるため、エンドポイントのセキュリティは不可欠な制御となります。攻撃者は、システムを標的として、個々のユーザーに対するフィッシング攻撃や、個々のデバイスを侵害するマルウェアを使用する可能性があります。

ここでは技術的制御として挙げていますが、エンドポイントのセキュリティは物理的、技術的、および管理的制御を組み合わせたものです。つまり、物理デバイスを安全に保ち、技術的制御を使用してデバイスが悪意のある人物の手に渡った場合のリスクを制限し、ユーザーに適切なセキュリティ・プラクティスをトレーニングします。

ハイブリッドクラウド・セキュリティの管理的制御

最後に、ハイブリッドクラウド・セキュリティにおける管理的制御の実装は、人的要因を考慮したものです。ハイブリッドクラウド環境は多くの人が接続するため、すべてのユーザーがセキュリティに責任を持つ必要があります。

災害への備えと復旧も、管理的制御に含まれます。たとえば、ハイブリッドクラウドの一部がオフラインになった場合、誰がどのような対応に責任を負うのでしょうか?データ復旧のための手順は用意されていますか?

ハイブリッド・アーキテクチャは、管理のセキュリティに大きな利点をもたらします。リソースはオンサイトとオフサイトのハードウェアに分散されている可能性があるため、バックアップと冗長性のオプションを持っていることになります。パブリッククラウドとプライベートクラウドを組み合わせたハイブリッドクラウドでは、プライベートのデータセンタークラウド上のシステムに障害が発生した場合、パブリッククラウドにフェイルオーバーできます。

SPIFFE および SPIRE とは

IT のセキュリティは一夜にして実現できるものではない

IT セキュリティの実現には、時間と反復作業が必要です。セキュリティ事情は常に変化しています。完璧なセキュリティ状態 (そのようなものは存在しませんが) に到達するために自分自身にプレッシャーをかけるのではなく、一歩一歩進み、昨日よりも今日のほうが安全になるように、合理的でよく考えられた行動をとることに集中してください。

e ブック:オープンソース Linux のセキュリティとコンプライアンスリスクの管理

ハブ

Red Hat 公式ブログ

Red Hat のお客様、パートナー、およびコミュニティのエコシステムに関する最新の情報を入手しましょう。

すべての Red Hat 製品のトライアル

Red Hat の無料トライアルは、Red Hat 製品をハンズオンでお試しいただける無料体験版です。認定の取得に向けた準備をしたり、製品が組織に適しているかどうかを評価したりするのに役立ちます。
関連情報

関連情報

SPIFFE および SPIRE とは

SPIFFE と SPIRE は、動的で多様なコンピューティング環境における ID 管理のためのオープンソース・プロジェクトです。この 2 つを組み合わせることで、多くのセキュリティ問題が解決されます。

ゼロトラストとは

ゼロトラストとは、あらゆる通信は信頼できない状況で開始されるという前提に基づいてセキュリティ・アーキテクチャを設計するアプローチです。これについて詳しく説明します。

DevSecOps とは?をわかりやすく解説

DevSecOps(デブセックオプス)は、開発と運用を合わせたDevOpsにSecurity(セキュリティ)を加えた概念。ソフトウェア開発のライフサイクル全体にセキュリティを導入します。

セキュリティリソース

関連するコンテンツ

関連記事