クラウドに保存されている顧客データのセキュリティを確保することは、今日の組織にとってますます課題となっています。サイバー脅威の数は増加し続けており、その質と巧妙さはますます高まっています。
調査会社 Gartner によると、クラウドで発生するすべてのデータ漏洩の 80% は、クラウド コンピューティング プロバイダーのクラウド プラットフォームの脆弱性ではなく、IT 部門による構成ミス、アカウント管理、その他のエラーが原因です。したがって、IT 企業は全体的なセキュリティを強化するために、社内のビジネス プロセスと人材トレーニングに注力する必要があります。
別の調査によると、企業の 64% が、クラウド コンピューティング インフラストラクチャは従来のデータ センターよりも安全であると考えています。クラウド コンピューティングを導入している企業の 75% は、クラウド コンピューティング プロバイダーが提供するものを超える追加の保護対策を採用しています。これらの追加のセキュリティ対策として、61% の企業がデータ暗号化を採用し、52% の企業がより厳格なアクセス ポリシーを採用し、48% の企業が頻繁なシステム監査を採用しています。
サイバー攻撃者は、データが仮想マシン上にあるか物理マシン上にあるかを気にしません。彼らの目標は、何らかの手段でアクセスすることです。したがって、クラウド内のデータを保護するために、企業はデータセンターにあるものと同じツールを使用できるようにしたいと考えています。セキュリティの専門家は、クラウド コンピューティングの安全性を維持するための 3 つの主要な対策を特定しています。それは、データ暗号化、データ アクセスの制限、攻撃 (ランサムウェアなど) が発生した場合のデータ回復です。
また、専門家は API を注意深く研究することを推奨しています。オープンで保護されていないインターフェイスは、データ保護の脆弱な部分となり、クラウド コンピューティング プラットフォームの重大な脆弱性になる可能性があるためです。
分析と機械学習
多くのセキュリティ問題を解決するために、企業は人工知能 (AI) テクノロジーを使用できます。人工知能フレームワークと機械学習は、データ保護を自動化し、日常業務の実行を合理化するのに役立ちます。人工知能は、パブリックおよびプライベート クラウド インフラストラクチャでサービスを提供し、セキュリティを強化します。
このアプローチの一例は、外部ソースからの脅威データに基づいてセキュリティ ポリシーを開発し、構成を動的に調整するオープンソース プロジェクト MineMeld です。場合によっては、特定の企業のニーズすべてに対応できる場合もあります。もう 1 つの例は、Gurucul クラウド分析プラットフォームです。これは、行動分析と機械学習を使用して外部および内部の脅威を検出します。
データを暗号化する
企業はすべてのデータを暗号化する必要はありません。セキュリティを確保するには、企業には詳細なポリシーが必要です。まず、どのデータをクラウドに置く必要があるのか、トラフィックがどこに置かれるのかを決定します。そうして初めて、どの情報を暗号化する価値があるかを判断できます。
企業はセキュリティ対策を強化する前に、その実現可能性を評価します。新しい対策を導入するコストを評価し、データ侵害によって引き起こされる潜在的な損失と比較する必要があります。さらに、企業は暗号化、アクセス制御、およびユーザー認証がシステム パフォーマンスに与える影響も分析する必要があります。
データ保護は複数のレベルで実装できます。たとえば、ユーザーがクラウドに送信するすべてのデータは、匿名性とセキュリティを提供する AES アルゴリズムを使用して暗号化できます。次のレベルの保護は、クラウド コンピューティング ストレージ サーバーでのデータ暗号化です。クラウド コンピューティング プロバイダーは、冗長性を通じて顧客情報を保護するために、データを複数のデータ センターに保存することがよくあります。
インフラストラクチャ監視
クラウドに移行する場合、多くのお客様は新しいセキュリティ ポリシーを実装する必要があります。たとえば、ファイアウォールや仮想ネットワークの設定を変更する必要があります。調査会社 Sans が実施した調査によると、データセンター ユーザーは不正アクセス (68%)、アプリケーションの脆弱性 (64%)、マルウェア感染 (61%)、ソーシャル エンジニアリングとコンプライアンス違反 (59%) を懸念しています。脅威 53%)。
同時に、攻撃者はほぼ常にシステムに侵入する方法を見つけます。したがって、企業の主なタスクは、攻撃がネットワークの他の部分に広がるのを防ぐことです。これは、セキュリティ システムがワークロード間の不正な対話をブロックし、違法な接続要求を防止する場合に実装できます。
データセンターインフラを監視できる製品も多数あります。たとえば、Cisco は IT 管理者にネットワーク アクティビティの全体像を提供し、誰がネットワークに接続しているかを確認できるだけでなく、ユーザー ルールを設定し、ユーザーが何をすべきか、どのようなアクセス権を持っているかを管理できるようにします。
自動化ツールを活用する
データセンターの信頼性を向上させるもう 1 つの方法は、セキュリティ システムと DevOps プラクティスを組み合わせることです。そうすることで、企業は新しいアプリケーションをより迅速に展開し、より迅速に変更を導入できるようになります。セキュリティ設定の変更が継続的な展開プロセスの一部となるように、適応型セキュリティ アーキテクチャを管理ツールと統合する必要があります。
クラウド コンピューティング インフラストラクチャでは、セキュリティが継続的統合と継続的デプロイメントに不可欠な部分になります。これは Jenkins プラグインなどのツールを通じて提供でき、コードとセキュリティのテストが品質保証の不可欠な段階になります。セキュリティのテストと監視のための他の DevOps ツールには、静的分析 (SAST) ソリューションや動的分析 (DAST) ソリューションなどがあります。静的分析 (SAST) では、静的状態のアプリケーションのソース コードを分析し、そのセキュリティの脆弱性を特定できます。動的分析 (DAST) は、アプリケーションの実行中に潜在的なセキュリティ脆弱性を検出します。
以前は、製品の安全性の問題は別のチームが処理していました。ただし、このアプローチでは製品の作業時間が長くなり、すべてのバグが排除されるわけではありません。現在、セキュリティの統合は複数の方向で行われる可能性があり、DevOpsSec、DevSecOps、SecDevOps という個別の用語も使用されています。これらの用語には違いがあります。クラウド コンピューティング インフラストラクチャを含む、製品開発のすべての段階でセキュリティを考慮する必要があります。