Tenable ブログ
ブログ通知を受信する
ハイブリッドクラウドセキュリティの 5 つの基本原則
効果的かつ拡張性があり、手頃な価格でハイブリッドクラウドのセキュリティ戦略を構築するには?
クラウドスプロールは、ほとんどの企業にとって現実のものとなっています。企業がワークロードをオンプレミスのデータセンターから複数のパブリッククラウドプラットフォームに移行すると、従来の防御線の境界があいまいになり、クラウドスプロールとセキュリティ上厄介な課題が生じます。
こうした新しく境界のないハイブリッドクラウド環境を保護するには、セキュリティ制御のしかるべき場所での実施、新しいツールの導入、 5 つの基本原則、つまり統合アクセス管理、自動化、シフトレフト、データセキュリティ、ゼロトラストに基づいた管理が必要です。
このブログ記事では、ウェビナー「ハイブリッドクラウドセキュリティの 5 つの必須事項」で取り上げたこれら 5 つの原則の適用方法を要約して説明します。
原則 1: 統合アクセス管理戦略を作成
クラウドコンピューティングでは、従来の境界が企業データセンターの外側に移動されるため、主要な信頼境界線がネットワークから ID に置き換わります。したがって、クラウドを保護するには ID の管理・認証・認可 (IAM) を統合することが不可欠です。これを行うには、次の点に注意する必要があります。
- ID を統合して、クラウド ID が別々のディレクトリや認証システムに存在するといった事態を防ぐ
- すべてのアクセスに対して多要素認証 (MFA) を強制するか、少なくとも特権アカウントには MFA を使用する
- 自動ツールを使用してクラウドアカウントの異常なアクセスを監視し、最小限の権限を適用する
クラウドアカウントが中央の IAM システムによって追跡されていることを確認し、クラウドアカウントへの不正アクセスを常にスキャンする自動ツールの使用が不可欠です。基本認証は外部からアクセス可能なユーザーアカウントには不十分なため、パブリッククラウドへのすべてのアクセスには MFA を要求するようにしてください。少なくとも、特権アカウントには MFA を使用してください。
原則 2: すべてのクラウドで設定と検証を自動化
「クラウドセキュリティインシデントの圧倒的多数は、顧客のミスによって発生します。この数は、攻撃者の悪用によるものより、はるかに多いのです」
企業のアナリストおよびアドバイザーとしての長年の経験から、クラウドセキュリティインシデントの圧倒的多数は、顧客の設定の間違いやミスに起因していることがわかりました。この数は、攻撃者の悪用に起因するものよりはるかに多かったのです。クラウドの世界では、クラウドの設定を正しく行うことが、安全なコードを記述することと同じくらい重要となります。設定ミスを減らすための主な推奨事項は次のとおりです。
- すべての環境で設定を確実に安全なものにするため、最低でも CSPM を使用する
- Tenable One サイバーエクスポージャー管理プラットフォームなどの統合セキュリティプラットフォームを使用して、すべての環境にわたってデータを収集する
クラウドセキュリティの自動化が、最新のセキュリティ戦略においてますます重要となっています。これにより、企業はクラウド環境の管理に必要な手作業を削減できると同時に、セキュリティ態勢と拡張能力も向上させることができます。
これが、Tenable Cloud Security のような自動化されたクラウドセキュリティ態勢管理 (CSPM) ツールの採用が常に増え、進化し続けてきた理由です。CSPM ソリューションは、クラウドランタイム構成を検証するだけでなく、IaC コードリポジトリをスキャンし、過剰な特権を持つアカウントやロールなどの ID およびアクセス管理の課題を探せるように機能が向上しています。
原則 3: DevSecOps を採用し、制御をシフトレフト
「クラウドセキュリティを独自のツールやプロセスを備えた別個のエンティティとして扱わないようにする必要があります。チームが単一の戦略の下で統一された状態になっており、同じ共通認識を持てるツールをチーム間で使用する必要があります」
セキュリティチームと開発者は、異なる認識を持っています。開発者がクラウドセキュリティについて考えるときは、技術的な制御、Hashicorp の Terraform などのオープンソース製品、コンテナまたは Kubernetes 上でクラウドネイティブアプリケーションを実行できるようにする優れた機能について頭に思い描きます。セキュリティチームが制御について考えるときは、定性的および定量的なリスクがわかるかどうかを頭に思い描きます。管理、監視、検証の手法について知りたいからです。
これらの理由から、クラウドチームにセキュリティ制御の設計を任せるのはお勧めできません。セキュリティチームの責務は、DevSecOps プラクティスを採用することと、できるだけ早い段階で確実に開発パイプラインの制御を得ることです。この際、クラウドセキュリティを独自のツールやプロセスを備えた別個のエンティティとして扱わないようにする必要があります。チームが単一の戦略の下で統一された状態になっており、同じ共通認識を持てるツールをチーム間で使用する必要があります。制御を「シフトレフト」するには、次のことを行う必要があります。
- Terrascan などのインフラをコード化 (IaC) するセキュリティツールを使用して、開発パイプラインに設定ミスがないかインフラをスキャンする
- 基本イメージを標準化し、分離された開発環境でスキャンを実行する
- 制御をシフトレフトし、パブリッククラウドプラットフォームにデプロイメントする前にコントロールを抽象化して適用することで、複数のクラウドに拡張できるようにする
ツールの統合にも留意する必要あり
リスクエクスポージャーを正確に測定し、複数のオンプレミスおよびパブリッククラウド環境にわたるリスク要因を正規化するには、使用するツールをできるだけ少なくすることが重要です。パブリッククラウドに関して、市場では新しいベンダーが急増しています。大手企業は、これに対してより慎重な方法を用いている一方で、新興ベンダーは革新的な技術を用いて制御のギャップを埋めています。とはいえ、幸いなことにこれが問題となることはもうありません。Tenable One のようなソリューションが、オンプレミスとパブリッククラウドの両方のワークロードを保護し、一貫性のあるハイブリッドクラウドセキュリティプラットフォームを提供しているためです。
原則 4: データのセキュリティを強化
企業は、クラウド上に保存されているすべてのデータを暗号化して保護する必要があります。少なくとも、顧客が管理するマスターキーを使用するようにクラウドサービスプロバイダー (CSP) のネイティブキー管理システムを設定する必要があります。独自のマスター暗号化キーを発行してオンプレミスのハードウェアセキュリティモジュール (HSM) に保持するか、パブリッククラウド環境で仮想 HSM を使用するのが理想です。
パブリッククラウドにおけるデータセキュリティの主なベストプラクティスには次のものがあります。
- 保管時のすべてのデータを暗号化して、暗号化キーを制御する
- クラウドプロバイダーのキー管理システムと統合する
- 独自の HSM を使用し、オンプレミスまたは代替クラウドプラットフォームでキーを保持するのが理想
原則 5: ゼロトラストで戦略を統合
ゼロトラストは使い古された用語ですが、ここでは、暗黙的な信頼をまったく行わないこと、認証後および各セッションのライフサイクル全体にわたるすべてのユーザーエンティティの動作を完全に可視化することを指します。ゼロトラストはクラウドにおける重要な要件ですが、プライベートクラウド環境においてもゼロトラストの原則を導入する必要があります。
ゼロトラストのメリットを最大限に活用するには、以下を行います。
- 可能な場合、パブリッククラウド環境とプライベートクラウド環境の両方でゼロトラスト原則を採用する
- 信頼できるネットワークの設定や、「暗黙的に信頼」するやり方を段階的に廃止する
- クラウドネイティブとゼロトラストの原則を導入する。これらはセキュリティ変革の原動力となり、ハイブリッドクラウド環境全体でアプリケーションの安全性を高めます
まとめ
ハイブリッドクラウドのセキュリティを成功させるには、統一されたアプローチが必要です。バイモーダル IT には、パブリッククラウドのワークロード全体に技術的負債とセキュリティの盲点を残すという問題があります。セキュリティリーダーは、開発パイプライン全体およびパブリッククラウド環境とプライベートクラウド環境全体にわたって堅牢な標準を適用することで、共有インフラにデプロイする前にセキュリティに関する問題の解決を目指す必要があります。
パブリッククラウドの採用を続ける中で、実証済みのセキュリティ運用から得た最良の技術を使用し、それらをクラウド技術のセキュリティのベストプラクティスと組み合わせる形にセキュリティ戦略を進化させることが不可欠です。また、クラウドカバレッジが統合されていないことによる制御ギャップや、制御が多すぎることによる処理速度の低下をもたらす、従来のサイロ化されたツールの統合も重要です。
テクノロジーチームとコミュニケーションは困難な場合がありますが、セキュリティリーダーはクラウドネイティブへの移行とゼロトラストの原則を受け入れる必要があります。これら 5 つの重要な原則を基盤とすることで、ハイブリッドクラウドアプリケーションの安全性が向上し、オンプレミスデータセンターのアプリケーションよりも管理が容易になります。
上記で推奨されている 5 つの重要な原則について詳しく知りたい場合は、オンデマンドウェビナー「ハイブリッドクラウドセキュリティの 5 つの必需品」をご覧ください。また、Tenable Cloud Security の詳細について調べたり、今すぐ無料トライアルにサインアップしたりもできます。
(ゲスト著者である Lionfish Tech Advisors の Tom Croll 氏は Tenable のコンサルタントです。)
関連記事
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Cloud
- Cloud