クラウドネットワークセキュリティは、悪意のある攻撃者がパブリックまたはプライベートクラウドネットワーク上の情報にアクセス、変更、または破壊する可能性を最小限に抑えることに焦点を当てたサイバーセキュリティの領域です。 クラウドネットワークを保護するための原則は、オンプレミスネットワークを保護するための原則と似ていますが、クラウド環境固有の性質は、オンプレとは別の戦術が必要としています。
機密情報がクラウドに移行された場合、そこでより脆弱になる可能性があるため、クラウドネットワークのセキュリティは重要なのです。 機密情報は保護する必要がありますが、クラウドにはセキュリティを複雑にする新たな課題も伴います。
クラウドネットワークセキュリティが直面している課題は、クラウドへの運用化を非常に強力にしている理由でもあります。 クラウドネットワークに新しい資産を展開するのは非常に簡単です。 オンプレミス ネットワークでは、IT チームとセキュリティ チームがすべての新しいインフラストラクチャを監視します。 これは、ネットワークの拡張に時間がかかり、面倒であることを意味していますが、新たなインフラストラクチャの全てがセキュリティの専門家の監視下で構成されることも意味します。 しかし、クラウドネットワークでは、ITチームやセキュリティチームが直接関与することなく、適切なアカウントを持っている人であれば誰でも、システムが新しいインフラストラクチャを簡単に追加することができます。 これは、ネットワーク拡張を容易にしますが、新しいインフラストラクチャが安全に構成されている保証がないため、攻撃に対して脆弱になる可能性も高まります。
クラウドコンピューティングにおけるネットワークセキュリティのもう一つの課題は、クラウド環境の変化のスピードです。 オートスケーリングやサーバーレスコンピューティングなどのテクノロジーでは、クラウドネットワーク内の資産が常に現れたり消えたりします。 資産が数分間しか存在しない可能性があるため、脆弱性スキャンなどの従来のセキュリティ対策はもはや十分だとは言えません—数分は、悪意のある攻撃者がそれを見つけて悪用するのに十分な時間であるものの、日次や週次で実行されるスキャンでそれを検出するには短期過ぎます。
導入の容易さと頻繁に発生する変更は、セキュリティチームがクラウド環境の全体像を維持することを非常に困難なものにしています。 これは、さまざまな情報がさまざまなシステムに保存され、さまざまなセキュリティツールによって保護されているオンプレミスネットワークとクラウドネットワークの両方を含むIT環境であるハイブリッド環境ではさらに悪化します。 これらの環境では、セキュリティチームは、セキュリティの取り組みを管理するために、さまざまなシステム間を行ったり来たりする必要があります。 統合されたデータがないため、組織の全体的なセキュリティ体制を正確に把握したり、クラウドネットワークとオンプレミスネットワークの間を移動している悪意のあるアクターを追跡したりすることが、不可能ではないにしても困難になります。
もう一つの大切なことは、AWSやAzureなどのパブリッククラウドサービスプロバイダー上のネットワークを扱う場合、ネットワークの所有者はプロバイダーと、それを保護する責任を共有するということです。 この責任共有モデルの詳細はプロバイダーによって異なりますが、一般的には、データセンターの物理的なセキュリティ、ハードウェアのメンテナンスと更新など、クラウド自体を保護する責任があります。 一方、ネットワーク所有者は、そのクラウド環境に置くものを保護する責任があります。
多くの人がハードウェアとデータセンターの保護の制御を放棄することを心配していますが、Amazon、Microsoft、Googleなどの確立されたパブリッククラウドサービスプロバイダーは、物理的なセキュリティなどにより多くのリソースを費やすことができます。 責任共有モデルの本当のリスクは、組織内で混乱が生じる可能性があることです。 「クラウドセキュリティはクラウド側にあるもので、クラウドプロバイダーがすべてを処理するため、クラウドセキュリティについて心配する必要はない」という誤解が元となって発生する セキュリティ インシデントは少なくありません。
DevSecOpsを採用し、クラウドネットワークを安全な方法で使用する方法について従業員を教育するだけでなく、組織がクラウドネットワークのリスクを最小限に抑えるために実行できる最も効果的なことは、クラウド環境のセキュリティベースラインを定義することです。理想的には、組織がクラウドネットワークの使用を開始する前にこのベースラインを確立する必要がありますが、作成するのに遅すぎることはありません。
ベースラインは、セキュリティの観点からクラウド・ネットワークがどのように見えるべきかを示しています。 目的は、セキュリティ、IT、エンジニアリング、DevOpsなど、すべての人が、ネットワークを継続的に安全に保つために必要なことについて足並みを揃えることです。 適切に定義されたベースラインは、展開の容易さ、変更の速度、責任の共有など、クラウドネットワークセキュリティの多くの課題に対処するのに役立ちます。
このベースラインを確立するために組織が従うことができるクラウドネットワークセキュリティのベストプラクティスがいくつかあります。 まず、ベースラインでは、クラウド環境のアーキテクチャ、各種類の資産の構成方法、および環境の各部分に対する読み取りまたは書き込みアクセス権を持つユーザーを指定する必要があります。 CISベンチマークやAWSウェルアーキテクトフレームワークなどのガイドも、ベースラインの定義に役立てる必要があります。
ベースラインが運用前環境とテスト環境に適用されていることを確認します。 多くの場合、これらの環境は攻撃のエントリ ポイントとして使用されています。 ベースラインで、テストに使用または複製できる運用データベース (存在する場合) など、テスト用のポリシーと制御を指定します。
ベースラインはまた、 インシデント対応計画を綿密に計画し、組織内の誰がクラウドセキュリティのどの側面に継続的に責任を負うかを明確に定義する必要があります。 また、新たな脅威と新しいベストプラクティスを反映するために、定期的に再検討および更新する必要があります。
ベースラインが作成または更新されたら、クラウド・ネットワークに触れるすべての人にベースラインを伝える必要があります。 さらに、セキュリティ チームは DevOps と連携し、ベースラインを適用する方法を実装する必要があります。 これは、すべてが適切に構成されたクラウドインフラストラクチャテンプレートを作成することを意味します(クラウドプロバイダーまたは Terraformなどのベンダーのコードソリューションとしてのインフラストラクチャを使用)。 また、継続的な監視を実装することで、展開後に何かが期限切れになったりへんこうされることで、ベースラインから外れたことを検出することもできます。 仮想マシン テンプレートには、展開された瞬間から継続的な監視と脆弱性検出を可能にする組み込みエージェントを含める必要があります。
クラウドネットワークの可視性に関する課題に関しては、セキュリティチームが組織のすべてのクラウドアカウントに対し、少なくとも読み取り専用アクセス権があることを確認することから始める必要があります。 ハイブリッドまたはマルチクラウド環境の可視性を保護および維持しようとする組織は、1つのチームがITフットプリントのすべての部分を保護する責任があることを確認する必要があります。 あるチームがオンプレミスのセキュリティを担当し、別のチームがクラウドセキュリティを担当し、さらに別のチームがクラウドセキュリティを担当する、などの環境では、多くの場合、サイロや盲点が発生し、ネットワーク間を移動する悪意のあるアクターを追跡することが困難になります。
ハイブリッドまたはマルチクラウド環境のセキュリティを扱うチームは、使用するツールの再評価も検討する必要があります。 多くのレガシーセキュリティソリューションは、クラウドネットワークをサポートするように最適化されていません。 その結果、チームはさまざまなツールを使用してオンプレミス環境とクラウド環境をセキュリティで保護することになります。 代わりに、チームは組織のITフットプリント全体のセキュリティを1か所で管理できるツールを探す必要があります。
以下に挙げるツールは、多くのチームにとってメリットがあると言えます:
セキュリティチームは、セキュリティ自動化ツールを活用してクラウドネットワークを保護することも検討する必要があります。 自動化は、チームがクラウドネットワークの急速な変化に追いつき、システム間でデータを共有することで可視性を高め、煩雑な作業を排除することでより効率的に作業し、検出された脅威に即座に対応することでインシデントによる被害を最小限に抑えるのに役立ちます。
自動化を活用する 1 つの方法は、Chef や Puppet などのツールを使用して、(セキュリティ ベースラインから) クラウド インフラストラクチャ テンプレートの展開を自動化することです。 これにより、複雑なアーキテクチャの作成を簡素化し、人為的ミスの可能性を最小限に抑えることができます。 自動化を活用する別の方法は、セキュリティ オーケストレーション、自動化、および応答 (SOAR) ソリューションの活用です。 これらのツールにより、チームはAPIを使用してシステムを統合する時間をかけずに、システム間でデータを簡単にやりとりできます。 さらに、SOARソリューションはセキュリティアナリストの一日を潰したり、調査を遅らせたりする手動プロセスの多くを自動化できます。 たとえばセキュリティチームは、SOARツールを用いてることで、疑わしいフィッシングメールに対する調査や、マルウェアが検出時の封じ込め、ユーザーのプロビジョニング/プロビジョニング解除、 パッチ適用の合理化などのワークフローの自動化を構築できます。
これまでに説明した項目のほか、クラウドネットワーク上でWebアプリケーションを構築および展開しようとしている組織向けの追加のベストプラクティスがいくつかあります。 こう言った組織は「シフトレフト」を検討し、ソフトウェア開発ライフサイクル(SDLC)のできるだけ早い段階でセキュリティを組み込む必要があります。 つまりセキュリティは、コードの展開前テストの一部として、他のバグと同様に扱う必要があります。
これにより、展開されたコードにセキュリティの脆弱性がないことを保証するだけでなく、テスト中に セキュリティ問題にフラグを立てることで、開発者がコードに存在する脆弱性と、将来それらを回避する方法を知る機会を得ることができます。 現在クラウドネットワークに展開されている最新のWebアプリの種類は一般的にかなり複雑であるため、これらの種類のアプリをテストする方法を探している組織は、検討しているSAST、DAST、またはIASTソリューションがアプリのコードベースを処理できることを確認する必要があります。
これを確認する最良の方法は、ツールを無料トライアルで試してみることです。 クラウドネットワークに固有のものではありませんが、Webアプリケーションを展開する組織は、悪意のあるアクターがアプリにアクセスするのを防ぐためのWebアプリケーションファイアウォール(WAF)や、WAFを通過するライブ攻撃に対応するためのランタイムアプリケーションセキュリティ保護(RASP)ソリューションなどの追加の保護も真剣に検討する必要があることに注意してください。