クラウド(コンピューティング) セキュリティ: 包括的ガイド

トピック

Cloud Security, Security

クラウドプロバイダーは、多くのセキュリティタスクに取り組みます。それでも、クラウドプレゼンスを持つすべての企業は、データの安全性を確保し、コンプライアンスのニーズを満たすためのポリシー、手順、およびプラクティスを作成する必要があります。

クラウド(コンピューティング)のセキュリティはなぜ重要なのですか?

サービスをクラウドにプッシュするということは、データの保護と防御を支援する専門家の軍隊を活用することを意味します。しかし、残念ながら、セキュリティの問題は一般的です。ある研究では、会社概要の約80% が、過去18か月間に少なくとも1つのデータ侵害を経験していました。

クラウド(コンピューティング) のセキュリティに関する懸念は、2 つの要因から生じる傾向があります。

プロバイダー: ソフトウェア、プラットフォーム、またはインフラストラクチャの問題は、侵害につながる可能性があります。
お客様: 会社概要クラウドのセキュリティをサポートするための確固たるポリシーがありません。

データ漏洩は、会社概要の顔であるトップリスクです。攻撃者はデータを求めており、会社概要は IT を保護するために常に常識的なツール (暗号化など) を使用するわけではありません。

会社概要多くの場合、クラウドプロバイダーが提供する安全サービスを理解するのに苦労しています。また、多くの会社概要は、セキュリティを最優先する社内システムを構築していません。

プロバイダーと協力して作業する会社概要侵害リスクを下げることができます。時間のかかる手動のセキュリティ構成と更新を回避できます。また、監視と報告を行うためのチームが24時間体制で待機しています。企業レベルのポリシーは、会社概要がセキュリティを保護するためにも IT 部門の役割を担うことを確認できます。

クラウド(コンピューティング) 会社概要 structure & models

すべてのベンダーには、独自のセキュリティの強みと脆弱性があります。一般的なクラウドの種類とサービスモデルを理解することは、リスクの評価に役立ちます。

クラウドには大きく分けて3つのタイプがあります。

パブリッククラウド: サードパーティのクラウドサービスプロバイダー(Google など)は、多くの個人や会社概要が使用する 1 つのプロダクトを作成します。個々の会社概要通常、パブリッククラウドサービス内のデータストアへのアクセスを保護するために、組織のセキュリティ要件に基づいてポリシーを開発します。
プライベートクラウド:このクラウドにアクセスして使用できるのはあなただけです。不満を抱いた元従業員が誤ってデータを公開する可能性があるため、IT部門は依然として適切なセキュリティ実装を用意することが重要です。
ハイブリッドクラウド: ほとんどの中規模から大規模の会社概要このモデルのクラウド(コンピューティング) を選択します。情報の大部分はプライベートクラウドにとどまりますが、会社概要必要に応じてパブリッククラウドに移行できます。ここでは、両方のクラウドタイプのリスクが適用されます。

クラウド(コンピューティング) 会社概要は、主に3種類のサービスを提供しています。

IaaS: Infrastructure as a Service 会社概要は、サーバー、ファイアウォール、データセンターを提供します。
PaaS: Platform as a Service 会社概要は、オペレーティングシステム、開発ツール、データベース管理、アナリティクスに加えて、上記のすべての利点を提供します。
SaaS: サービスとしてのソフトウェア(SaaS) 会社概要は、上記のすべての利点と、ホストされたアプリケーション (アプリケーション) を提供します。

ベンダーが保護する3つの共通エリア

会社概要クラウド(コンピューティング)のセキュリティはどのように保証していますか? 3 つの領域が重要であり、ほとんどの会社概要は、それらを実装するために顧客との緊密なパートナーシップを必要とします。

これらの領域には、次のものが含まれます。

従業員。あなたの会社概要では、データ盗難に関連する犯罪行為が過去に発生していないか、チームに参加する前に、どのように選別していますか? 彼らが去るとき、彼らのログインとアカウントをどのように保護しますか?
アイデンティティ. ユーザーはどのようにしてクラウド上のリソースにアクセスできますか?一部のクラウド(コンピューティング) 会社概要は、顧客のアイデンティティ管理システムを利用しています。また、セキュリティをサポートするために独自のインフラストラクチャを構築する企業もあります。
形而下。泥棒や侵入者からハードウェアをどのように保護しますか?火災や洪水が発生した場合、システムはダウンしますか?ほとんどの会社概要には、建物とその中のリソースを確実に保護するための強力なプロトコルがあります。

クラウド(コンピューティング)プロバイダーと契約する前に、IT部門は、これら3つの領域すべてでデータを保護し、安全性を確保するために、彼らが何をし、何をしないかを理解することが重要です。

導入すべきクラウドベースのセキュリティ制御

セキュリティ用語では、"コントロール" は、会社概要がポリシーと手順を通じて採用および保護する一連のベストプラクティスです。クラウド(コンピューティング)に飛び込むなら、保護について考えることが重要です。

専門家は、次のような 7つの制御が重要であると示唆しています。

伝える。セキュリティを保護するために会社概要が何をしなければならないかを理解し、ベンダーが取っている手順を理解してください。侵入者がアクセスする可能性のあるサービス間にギャップがないことを確認してください。
アクセスを制御します。サーバーのどの部分をインターネットに公開しているかを把握し、接続が意図せずに開いたままにならないようにします。
データを保護します。暗号化されていないデータをクラウドに保存しないでください。盗難を防ぐために暗号化キーを保護します。
保護認証情報がある。アクセスキーを公開したり、公共の場所で漏洩したりしないように注意してください。
セキュリティ衛生を強化します。あなたの会社概要おそらく、強力なプロトコルが実施されているでしょう。クラウドに移行するからといって、それらを削除しないでください。
ユーザーログを監視します。誰がサーバーにアクセスしているかを注意深く監視し、必要に応じてサーバーを削除する責任を負ってください。
セキュリティを最優先します。多くの会社概要セキュリティ手順は、他のすべての製品の必需品が完了したときに、最後に考えます。それを切り替えて、最初にセキュリティについて話してください。

会社の概要、業界、およびビジネスに適用される他のセキュリティ制御がある場合があります。必要に応じてカスタマイズして、データを保護します。ただし、必要なときに役立つ何らかのコントロールを用意しておいてください。

クラウド(コンピューティング)セキュリティにおける暗号化の役割

専門家は、暗号化フォームはあらゆるクラウドセキュリティプログラムの基礎であると述べています。クラウドに配置するすべてのデータは暗号化し、復号化キーは慎重に保護する必要があります。ハッカーがクラウドに侵入しても、何も読み取れません。

次のようないくつかの暗号化タイプが存在します。

属性ベースの暗号化 (ABE)
Ciphertext-ポリシー ABE (CP-ABE)
Key-ポリシー ABE (KP-ABE)
完全準同型暗号化 (FHE)
検索可能暗号化 (SE)

一部のクラウド(コンピューティング) 会社概要では、購入者に特定の暗号化方法を使用することを要求しています。しかし、他の人はあなたに決定を任せます。

どの方法を選択する場合でも、ITを一貫して常に使用するようにしてください。暗号化されていないデータは非常に簡単に盗まれ、侵害されると収益の損失、顧客の信頼の喪失、またはその両方につながる可能性があります。

クラウド(コンピューティング)のセキュリティは動く標的です

最善の努力をしても、クラウド(コンピューティング)に伴うすべてのセキュリティリスクを排除することはできません。リスクは常に残ります。

あなたが悩むかもしれないいくつかのものは次のとおりです。

コントロールの喪失。クラウドを実行するハードウェア、ソフトウェア、またはアプリケーション (アプリケーション) は所有しません。ベンダーはプランやポリシーを説明するかもしれませんが、直接監視することはできません。
統合。多くのクラウド会社概要他のデータベースやアプリケーション (アプリケーション) とのインターフェース。時には、これらの接続がデータを危険にさらすことがあり、パブリッククラウドベンダーに一人で協力を依頼することはできません。
明確さの欠如。クラウド(コンピューティング) テクノロジーは複雑であり、IT部門は、自社の責任がどこで終わり、ベンダーの責任がどこから始まるのかを理解するのが難しい場合があります。質問をすることは非常に重要です。

いずれにせよ、発生した問題をできるだけ早く把握できるように、常にシステムを綿密に監視および監視する必要があります。

知っておくべきクラウドセキュリティコンプライアンスフレームワーク

データを保護することは、ビジネスにとって良いことです。しかし、一部の企業概要では、IT 部門が営業を続けるためにも重要です。地域、州、および連邦の規制は、セキュリティ計画に影響を与える可能性があります。

ほとんどの場合、政府はあなたに一連の規制を与えます。監査を実行して、各ルールに準拠しているかどうかを判断します。そして、なぜコンプライアンスを遵守しているのか、そしてどのようにコンプライアンスを維持する予定なのかを文書化します。

一般的なコンプライアンスフレームワークには、次のものがあります。

NIST: National Institute of Standard and Technology は、トップ組織でイノベーションを指導しています。 IT ガイドラインの遵守は、ほとんどのハイテク企業にとって優先事項です概要。
フェドランプ。連邦政府機関、クラウドサービスプロバイダー、およびサードパーティは、これらの標準化されたルールに従って、クラウド内のドキュメントのセキュリティ保護に取り組んでいます。
サーベンス・オクスリー法。上場会社概要は、この連邦法の規則を遵守しなければなりません。ほとんどのルールは会計に関するものですが、セキュリティにも触れているものもたくさんあります。

業界や場所によっては、次のような他のセキュリティコンプライアンスフレームワークに従う必要がある場合があります。

健康保険の相互運用性と説明責任に関する法律。医療組織とそのベンダーは、消費者の個人情報を保護する必要があります。
一般データ保護規則。欧州連合の会社概要と、ヨーロッパで事業を行う一部のアメリカの会社概要は、データを保護し、会社概要が収集する情報をユーザーが制御できるようにする必要があります。
ペイメントカード業界のデータセキュリティ標準。カード会員データを収集する会社概要 ITを部外者から保護する必要があります。

規制の状況は広大であり、一部の会社概要では、従うべきガイドラインが複数あります。クラウド(コンピューティング) 会社概要課題の処理に長けており、一部はコンプライアンスレポート機能を支援することができます。

しかし、IT部門は、コンプライアンスの期限が到来する前に、現行のルールについて話し合うことが重要です。違反した場合の罰金は一般的であり、罰せられる可能性があります。

クラウドセキュリティのベストプラクティス

すべての会社概要は、独自の脅威情勢に直面しています。そのため、侵入テストやその他のセキュリティタスクが非常に重要になります。脆弱な場所がわかったら、軽減策を講じることができます。

しかし、業界のベストプラクティスに従うことは常に良い考えです。次のことを行う必要があります。

データを暗号化します。広範囲に適用できる堅牢な暗号化ポリシーは、データ侵害に対する最善の保護です。攻撃者が侵入した場合でも、データは保護されたままです。
アクセスは慎重に管理します。ユーザーを特定して認証し、特定の権限を割り当て、アクセスポリシーを適用します。クラウドサーバー上に誰がいるかを把握し、その人が適切なタスクのみを引き受けていることを確認してください。
責任を受け入れる。セキュリティプランのどの部分を処理するかを知ってください。ベンダーが会社概要を安全に保つためのすべての作業を行うと思い込まないでください。
定期的に監視します。クラウドは、ITをセットして忘れるプロジェクトであってはなりません。ログを監視し、定期的なテストを実行して、プランが引き続き機能することを確認します。
遅れないようにしてください。セキュリティの状況は定期的に変化し、新しい脅威はほぼ毎日出現しています。ハッカーの世界で何が起こっているのかを把握し、それに応じて対応してください。

このリストに怯えないでください。クラウド(コンピューティング)は時間とお金を節約することができ、ITは通常、リスクを冒す価値があります。しかし、会社概要を安全に保つためにできる限りのことをしていることを確認してください。