クラウドホスティングは、スピードと俊敏性をあらゆる企業に提供します。 Amazon (AWS)、Microsoft Azure、Microsoft Web Services などのクラウド インフラストラクチャ (サービスとしてのインフラストラクチャ (IaaS) ) を導入することで、チームはスピードとともに節約と効率を実現できます。
IaaS の具体的なメリットには、次のようなものがあります。
Azure セキュリティは、Azure クラウド環境をセキュリティで保護するためにマイクロソフトが提供するネイティブ セキュリティ要素の組み合わせです。 物理インフラストラクチャとネットワーク要素はこの保護下にあり、ID、データ、ネットワーク、アプリにわたる組み込みのコントロールとサービスを備えています。 ただし、お客様は、Azure クラウドで運用する専有データのセキュリティをさらに強化する責任を認識する必要があります。
Azure セキュリティ センターは、セキュリティ イベントを監視し、それらのイベントのアラートを作成するための中央ハブです。 クラウド ワークロードの脅威保護機能を備え、いつでもリソースの状態を可視化できます。 また、Azure エコシステムの一部ではないハイブリッド クラウド環境を監視することもできます。
クラウドホスティングのメリットは十分に文書化されていますが、 クラウドセキュリティ は多くの組織にとってまだ新しいものです。 現実には、ほとんどの場合、オンプレミス環境に存在するのと同じセキュリティの考慮事項と責任が、クラウドにも存在します。
新しい課題の1つは、オンプレミス環境の境界はよく理解されていますが、クラウドホスティングとクラウドアプリケーションへの移行により、境界がよりユビキタスになっていることです。 クラウドのお客様は、セキュリティの責任をプロバイダーと共有し、再発を避けるために、これらの責任を十分に理解し、文書化する必要があります。 Microsoft Azure 環境のセキュリティ保護の詳細、または AWS クラウドセキュリティのベストプラクティスの詳細については、以下をお読みください。
Microsoft Azure のお客様は、一部の Azure クラウド セキュリティ機能にアクセスできますが、包括的なカバレッジのために、独自のセキュリティ対策とツールでそれらを補完する必要もあります。 お客様は、Azure クラウド コンピューティング インフラストラクチャと、使用している可能性のある Microsoft の SaaS アプリケーションのセキュリティ保護と監視を検討する必要があります。
オンプレミスのシステムと同様に、誰がいつ何にアクセスしているかを理解することが重要です。 移行に先立ち、チームはこれが最初にどのようになるかだけでなく、クラウドの導入が時間の経過とともに拡大するにつれてこれをどのように拡張するかについても計画を立てる必要があります。 多要素認証と最小限のアクセス権限は、開始するのに適した場所です。
箱の中身を理解することも重要です。 すべてのパッケージが同じように作成されているわけではなく、残念ながら、一部の基本的な監視がデフォルトで含まれていないか、オンになっていない可能性があります。 繰り返しになりますが、移行前にセキュリティ カバレッジの範囲を十分に理解し、既存のギャップを埋めるための適切な計画が整っていることを確認することが重要です。
あらゆる環境を保護する場合と同様に、Azure クラウドとユーザーを保護するための最初の手順は可視性です。 悪意のある可能性のある動作の早期検出は、環境内のアクティビティを理解することにかかっています。 クラウド ログはこの分析情報の最適なソースですが、多くのチームはこのタイプのログ記録に不慣れであり、これらのログを構成してそれらから実用的な分析情報を生成するときに課題に直面する可能性があります。
チームがクラウドへのログ記録の計画を立て、Azure 環境に最も関連性の高いログを決定する際には、成功を確実にするための重要な考慮事項がいくつかあります。
まず、ログをオンにする必要があります。 一部の Azure ログは既定で有効になっていますが、他の多くのログは明示的に構成する必要があります。 各サブスクリプション層には異なる既定のログ構成があり、適切なログが流れるように調整する必要がある場合があります。 仮定をしないでください。 既定でオンになっているログを理解し、不足している可能性のあるログを構成し、関連する予期されるオブジェクトがこれらのログにキャプチャされていることを確認することが重要です。
次に、イベント ハブに一元化します。 データのエクスポート方法は、ログの種類によって異なる場合があります。 たとえば、イベント ハブ ログは、ログを構成するときに、エクスポート機能、設定、またはチェック ボックスを介して提供される場合があります。 ログが適切に流れていることを確認する必要があります。
第三に、サブスクリプションを確認します。 繰り返しになりますが、サブスクリプションの種類ごとにログ記録と構成のニュアンスがあります。 たとえば、Azure Security Center へのアクセスはすべてのサブスクリプション レベルで利用できるわけではないため、これらのサード パーティのアラートを見逃す可能性があります。 Azure Active Directory サインインと監査ログは、多くのセキュリティ チームが必須と見なすものであり、開始するには少なくとも P1 または P2 サブスクリプションが必要です。
適切な構成とログ フローが整ったら、チームはこのデータをセキュリティ情報およびイベント管理 (SIEM) ツールにプッシュし始めることができます。Azure イベント ハブは、多くの場合、ログを集計して SIEM にエクスポートするために利用されます。この場合も、ログはイベント ハブにフローするように個別に構成されます。
このデータを SIEM で使用すると、Azure 環境の可視性が統合されるだけでなく、環境内の他のシステムからのデータと共にこのデータを表示することもできます。一部の従来のSIEMでは、これらの多様なデータセットをまだ注入できない場合があります。最新の SIEM を評価するときは、チームがクラウド、オンプレミス、リモート資産間でデータを集計する方法を理解し、検証することが重要です。さらに、強力なSIEMツールは、正規化、相関、およびアトリビューションを提供し、攻撃者がこれらのシステム間を移動するときに検出および追跡するのに役立ちます。