ハイブリッド クラウド セキュリティとは何ですか?

ハイブリッド クラウド セキュリティ戦略を実装すると、組織に多くのメリットがもたらされますが、同時にさまざまな課題とリスクも伴います。 これらには以下が含まれます:

• セキュリティ責任の共有: ハイブリッド クラウド環境では、顧客とクラウド プロバイダーがセキュリティの責任を共有するため、セキュリティのどの側面がそれぞれに責任があるかに関する責任の分担を理解することが重要です。 顧客は、プロバイダーが責任を果たしていることを確認する必要があり、すべてのクラウド環境にわたって包括的なセキュリティを確保するために、顧客が追加のセキュリティ対策を実装する必要がある場合があることを理解する必要があります。
• インシデント処理: ハイブリッド クラウド環境では、インフラストラクチャの分散性により、インシデント処理が困難になる可能性があります。 インシデントの原因を特定し、さまざまな環境にわたって対応を調整することは困難な場合があります。 たとえインシデントがプロバイダーのインフラストラクチャで発生したとしても、顧客はプロバイダーと協力して問題を解決する必要がある場合があります。
• アプリケーションセキュリティ: ハイブリッド クラウド環境では、アプリケーションのセキュリティ要件と構成が異なる場合があり、クラウドベースのアプリを維持および保護することがロジスティックな課題となります。 これは、環境全体で使用される共通のソフトウェア ライブラリをターゲットとするアプリケーションの脆弱性エクスプロイトの修復に特に当てはまります。
• アイデンティティとアクセス管理 (IAM): ハイブリッド クラウドの分散化と、さまざまなプラットフォームで使用されるさまざまな IAM ツールやプロセスにより、複数のクラウド環境にわたるユーザー ID とアクセスの管理は複雑になる可能性があります。 さらに、API やサードパーティ統合からのマシン間トラフィックが増加しており、ID ベースのセキュリティに対して異なるアプローチが必要になります。
• コンプライアンスとガバナンス: 一部のクラウド環境では可視性が欠如し、管理が分散されているため、ログ記録やフォレンジックが不完全になる可能性があり、コンプライアンスとガバナンスの要件を満たして適用することが困難になる可能性があります。
• サプライチェーンのセキュリティ: 多くの組織ではサプライチェーン全体の可視性と制御が不足しているため、サイバー犯罪者はマルチベンダーのハイブリッド クラウド環境を悪用する可能性があります。 組織は、クラウド プロバイダーが堅牢なセキュリティ対策を講じていることを確認し、定期的なセキュリティ監査、侵入テスト、脆弱性スキャンを実行する必要があります。
• データ保護: 組織は、ハイブリッド クラウド環境内のデータが保存時と転送時の両方で保護され、露出を制限するために適切な SSL/TLS 暗号化とアクセス制御が実施されていることを確認する必要があります。
• 可視性と制御: 特にクラウド環境が個別に管理されている場合、ハイブリッド クラウド環境でセキュリティの可視性と制御を維持することは困難です。 一元化されたダッシュボードがないと、環境全体にわたるセキュリティの監視、保護、トラブルシューティングが困難になり、セキュリティのパフォーマンスと制御に盲点が生じる可能性があります。

安全でコンプライアンスに準拠したハイブリッド クラウド環境には、一貫したセキュリティ ポリシーとプラクティス、エンドツーエンドの可視性、強力なガバナンスとコンプライアンス対策を含む総合的なアプローチが必要であり、組織がセキュリティ体制を損なうことなくハイブリッド クラウドのメリットを享受できるようにする必要があります。

ハイブリッド クラウド セキュリティのアーキテクチャには、アプリ、API、基盤となるインフラストラクチャ、ソフトウェア サプライ チェーンの保護が含まれます。 データはデータセンターやクラウド環境を通じてアクセスされるか、または利用可能になるため、通常は何らかのゼロトラスト セキュリティ モデルを通じて暗号化し、有効なユーザーとアプリケーションのみがアクセスして使用できるようにする必要があります。 ゼロ トラストでは、ネットワークの内外を問わず、リソースへのアクセス要求はすべて検証、認証され、要求ごとに継続的に評価される必要があります。 

アーキテクチャの境界では、エッジ クラウド サーバーとアプリケーション コンテナーでマイクロセグメンテーション [新しいマイクロセグメンテーション用語集ページへのリンクを挿入] が実行されます。これは、ネットワークを小さなセグメントに分割し、各セグメントに独自のセキュリティ ポリシーと制御を適用して、重要な資産を潜在的なセキュリティ脅威から分離して保護するセキュリティ手法です。 これにより、機密データやサーバーへのアクセスを制限し、攻撃の爆発半径を制限する「非武装地帯」または DMZ が作成されます。 これらの DMZ は、組織がネットワークの残りの部分を安全に保ちながら、特定のサービスをパブリック インターネットに公開できるようにするバッファーとして機能します。

ファイアウォールは追加の保護レイヤーを追加し、クラウド環境とオンプレミスのリソースをさらに分離します。

ハイブリッド クラウド セキュリティは、物理的、技術的、管理的の 3 つのコンポーネントで構成されます。

物理的な制御は実際のハードウェアを保護するためのものであり、技術的な制御は IT および処理システムを保護します。 管理制御は、セキュリティに影響を及ぼす可能性のある人間の行動や自然要因を考慮して実装されます。

物理的な制御は、ハイブリッド クラウド環境をサポートする物理インフラストラクチャを保護するため、ハイブリッド クラウド セキュリティの重要な側面です。 ハイブリッド クラウドは複数の場所にまたがる可能性があるため、物理的なセキュリティは特別な課題であると同時に重要な責任でもあります。 

物理的な制御には、データセンター、サーバールーム、および重要なインフラストラクチャを含むその他のエリアへのアクセス制限が含まれます。 CCTV カメラ、動作検知器、重要なインフラストラクチャへのアクセスを監視し、不正なアクティビティを検出する監視システムなどの監視システムも、物理的な制御と見なされます。

さらに、物理的な制御には、無停電電源装置 (UPS) やバックアップ発電機などのバックアップ電源システムを含めることができ、停電時でもハイブリッド クラウド環境が稼働し続けることを保証します。

組織は、クラウド プロバイダーとサービス レベル契約 (SLA) を締結し、物理的なセキュリティ標準を満たす方法を定義する必要があります。 

技術的な制御はハイブリッド クラウドのセキュリティにとって重要であり、次のようなものが含まれます。 

• 暗号化は、転送中および保存中のデータを保護するために使用されます。 SSL/TLS 暗号化により、たとえデータが不正なユーザーによって傍受されたとしても、データが保護されます。
• 自動化されたプロビジョニングと構成により、組織は人為的エラーのリスクを軽減し、ハイブリッド クラウド環境全体で一貫性のある効率的なセキュリティ管理を実現できます。
• オーケストレーションは、さまざまなセキュリティ ツール、システム、プロセスの調整を自動化し、それらがシームレスに連携してハイブリッド クラウド環境を保護することを保証します。
• アクセス制御では、許可されたユーザーのみがハイブリッド クラウド環境でホストされている機密データやアプリケーションにアクセスできるようにするためのポリシーと手順を実装します。 最小権限アクセスを含むゼロ トラスト原則は、ハイブリッド クラウド環境でますます重要になっています。
• エンドポイント セキュリティは、デバイス データを消去したり、データ センターへのアクセスを取り消したりすることで、ノートパソコンや携帯電話などの置き忘れ、盗難、または侵害されたデバイスからの不正アクセスを防止します。

セキュリティはすべてのユーザーの責任であり、管理制御はユーザーがセキュリティを強化する方法で行動するのに役立ちます。

組織は、従業員、請負業者、およびハイブリッド クラウド環境のその他のユーザーに対して、トレーニングおよび意識向上プログラムを提供する必要があります。 このトレーニングでは、クラウド セキュリティのベスト プラクティス、データ分類、アクセス制御、インシデント対応などのトピックをカバーし、各関係者の特定の役割と責任に合わせて調整する必要があります。

ハイブリッド クラウド アーキテクチャは、データの復旧と災害計画および準備に大きな利点をもたらします。 ハイブリッド クラウドにはプライベート クラウドとパブリック クラウドの両方が含まれるため、組織はパブリック クラウドをオンプレミスのデータとアプリケーションのフェイルオーバーとして利用し、バックアップ、冗長性、災害対策と復旧のシナリオを実現できます。

ハイブリッド クラウドのセキュリティは複雑であり、慎重な計画、実装、継続的な管理が必要です。 ここでは、組織がハイブリッド クラウド セキュリティへのアプローチの開発を開始する際に考慮すべきベスト プラクティスをいくつか紹介します。

• データの分類と保護。 データの機密性と重要度に基づいてデータを分類すると、組織はデータの保存、転送、アクセス方法、適用するセキュリティ対策を決定するのに役立ちます。 暗号化、アクセス制御、バックアップおよびリカバリ プロセスなどの適切なデータ保護対策を実装することも、ハイブリッド環境を通過するデータを確実に保護するために重要です。
• アクセス制御と ID 管理。 組織は、承認されたユーザーとアプリケーションのみが機密リソースにアクセスできるようにするために、強力なアクセス制御と ID 管理プロセス、ロールベースのアクセス制御、および権限管理を実装する必要があります。 ゼロトラスト原則は、認証と認可の弱点を狙った高度な攻撃から現代のワークロードを保護するのに役立ちます。
• ネットワークのセキュリティとセグメンテーション。 リソースが複数の場所やプロバイダーに分散されているハイブリッド クラウド環境でも、ネットワーク セキュリティは重要です。 トラフィックが承認されたユーザーとアプリケーションのみに制限されるようにするには、ネットワーク ファイアウォール、Web アプリケーション ファイアウォール、クラウド ワークロード保護プラットフォーム、ネットワーク セグメンテーションなどの強力なセキュリティ対策を実装することが重要です。
• 暗号化とキー管理。 暗号化は、ハイブリッド クラウド環境で転送中および保存中のデータを保護するため、データ ライフサイクル全体にわたって実装する必要があります。 暗号化キーは、許可されたユーザーとアプリケーションのみが暗号化キーまたは暗号化されたデータにアクセスできるように、慎重に保護する必要があります。
• 継続的な監視とインシデント対応。 潜在的な脅威を特定し、セキュリティ インシデントに迅速に対応するには、セキュリティ イベントとログを継続的に監視する必要があります。 組織は、役割と責任、インシデントのエスカレーション手順、および通信プロトコルを概説したインシデント対応計画を策定する必要があります。

ハイブリッド クラウド環境でのコンプライアンスとガバナンスの管理は困難な場合があり、次の点を考慮する必要があります。 

• 規制遵守。 医療、金融、政府などの規制産業で事業を展開する組織にとって、ハイブリッド クラウド環境における規制コンプライアンスは重要な懸念事項です。 組織は、自社の業界に適用される規制を特定し、既存のインフラストラクチャとプロセスを評価し、要件を満たすために必要な制御を実装する必要があります。 これには、コンプライアンスを証明するためのデータ暗号化、アクセス制御、監査ログが含まれる場合があります。
• データのプライバシーと保護。 ハイブリッド クラウド環境では、パブリック クラウド インフラストラクチャを含む複数の場所に機密データが保存される可能性があるため、ハイブリッド クラウド環境ではデータのプライバシーと保護が重要な考慮事項となります。 組織は明確なデータ保護ポリシーを確立し、機密データの場所を特定し、機密データへの不正アクセスを防ぐために暗号化とアクセス制御を実装する必要があります。
• リスク管理と軽減。 組織は潜在的な脅威と脆弱性を特定するために定期的にリスク評価を実施する必要があります。 これにより、インフラストラクチャに対する潜在的な脅威を特定して対処し、それらが引き起こす可能性のある損害を定量化することができます。 リスクを回避または軽減するための代替ソリューションを評価し、適切なセキュリティ制御を実装し、セキュリティ インシデントの発生がないか環境を監視します。
• インシデント対応計画。 セキュリティ インシデントは、ビジネス運営と評判に重大な影響を及ぼす可能性があります。 組織は、セキュリティ インシデントが発生した場合に取るべき手順を概説した包括的なインシデント対応計画を策定する必要があります。これには、インシデントの検出と報告、インシデントの封じ込めと隔離、調査、運用の復旧の手順が含まれます。
• ベンダー管理: 組織はインフラストラクチャとアプリケーションの管理をサードパーティのクラウド サービス プロバイダーに依存しているため、ベンダー管理はハイブリッド クラウドのコンプライアンスとガバナンスの重要な側面です。 ハイブリッド クラウド環境でベンダー リスクを管理するには、組織は潜在的なベンダーに対してデューデリジェンスを実施し、ベンダーの責任と義務を概説した明確な SLA を確立し、規制要件への準拠を確実にするためにベンダーのパフォーマンスを定期的に監視する必要があります。

以下は、ハイブリッド クラウドの機能を評価および選択する際に考慮すべきソリューション、サービス、およびツールです。 

• データ損失防止 (DLP) は、機密データを監視し、不正な方法でアクセス、流出、または送信されるのを防止するセキュリティ ソリューションです。 DLP は、オンプレミスのデータセンター、クラウド環境、エンドポイント デバイス全体のデータを管理および保護するためのポリシーベースの制御を提供します。 Web アプリケーション ファイアウォールは、機密データの損失を防ぐための柔軟でパフォーマンスの高い防御を提供します。 
• ネットワーク セキュリティ ソリューションは、ファイアウォール、侵入検知および防止システム、分析、その他のセキュリティ テクノロジなどの制御を組み合わせてネットワーク上の受信トラフィックと送信トラフィックを保護し、不正アクセス、攻撃、その他のセキュリティ脅威からネットワークを保護します。
• 脆弱性管理は、IT インフラストラクチャをスキャンして潜在的なセキュリティの脅威や弱点を評価し、修復の推奨事項を提供するプロアクティブな自動化ソリューションです。 脆弱性管理は、新たな脅威や出現する脅威に常に対応するための継続的なプロセスである必要があります。 Web アプリケーション ファイアウォールは、潜在的に壊滅的なアプリケーションの脆弱性の悪用を軽減するための重要な一時しのぎを提供できます。 
• 脅威インテリジェンスおよび検出システムは、複数のソースからデータを収集して分析し、セキュリティ オペレーション センター (SOC) スタッフによる調査と監視に加えて、機械学習やその他の分析手法を使用して、新たに出現するセキュリティ脅威と蔓延するセキュリティ脅威を特定して軽減します。
• コンプライアンス管理ソリューションは、コンプライアンス要件を追跡して報告し、組織がコンプライアンス違反に関連する罰金やその他のリスクを回避するのに役立ちます。

• クラウド セキュリティ評価サービスは、クラウド環境のセキュリティ体制を評価してリスクと脆弱性を特定することにより、セキュリティ制御を改善し、リスクを軽減するための推奨事項を提供します。
• クラウド セキュリティ管理は、クラウド環境のセキュリティ機能を監視することで、セキュリティ ポリシーと構成を一元的に可視化し、制御できるサービスです。
• クラウド暗号化サービスは、クラウド環境で転送中および保存中のデータを暗号化し、安全なデータ保護を確保するためのキー管理とアクセス制御も提供します。
• クラウド ワークロード保護プラットフォームは、コンテナ イメージ、認証キー、ソフトウェア サプライ チェーンなどの基盤となるインフラストラクチャを保護し、権限の昇格、横方向の移動、データの流出からも保護します。 
• アイデンティティおよびアクセス管理 (IAM) は、複数のクラウド環境にわたって安全で準拠したアクセスを確保するための認証、承認、およびアクセス制御サービスを提供します。 API やサードパーティ統合からのマシン間トラフィックの増加により、新しい ID ベースのセキュリティ アプローチが必要になります。 

• 仮想プライベート ネットワーク (VPN) は、ユーザーのデバイスと接続先のネットワーク間に安全なトンネルを提供し、クラウド リソースへのリモート暗号化アクセスを可能にします。 VPN を使用すると、パブリック クラウドとプライベート クラウドを安全に接続し、パブリック クラウド全体にプライベート ネットワークを拡張して、ハイブリッド環境でデータ トラフィックを保護できます。
• ファイアウォールは、事前に定義されたルールに基づいてトラフィックを監視およびフィルタリングすることで、ネットワークへのアクセスを制御するために使用されます。 これらは、ネットワークの境界、異なるクラウド環境間、および各クラウド環境内で実装できます。
• 侵入検知および防止システム (IDPS) は、ネットワーク トラフィックを分析し、悪意のあるアクティビティを特定することで、セキュリティの脅威を検出して防止するように設計されています。 ハイブリッド クラウド環境に導入して、DDoS、マルウェア、フィッシングなどの攻撃からクラウド リソースを監視および保護できます。
• セキュリティ情報およびイベント管理 (SIEM)ソリューションは、組織のハイブリッド クラウド インフラストラクチャ全体のセキュリティ イベントをリアルタイムで監視および分析します。 SIEM ツールは、さまざまなクラウド環境からログ データを収集して集約し、イベントを相関させて潜在的なセキュリティの脅威を特定できます。
• Secure Socket Layer (SSL) と Transport Layer Security (TLS)は、インターネット経由の通信を安全にするために使用される暗号化プロトコルです。 SSL と TLS を使用すると、クラウド環境間で転送されるデータを暗号化し、機密情報が傍受や改ざんから保護されることが保証されます。

ここでは、ハイブリッド クラウド セキュリティの新たなトレンドをいくつか紹介し、今後どのように進化していくかを示します。

• ゼロトラスト セキュリティでは、従来のネットワーク エッジは存在しないと想定し、すべてのネットワーク トラフィックが潜在的に悪意のあるものであると見なします。 ゼロ トラスト セキュリティでは、組織のネットワークの内外を問わず、保護されたアプリケーションやデータへのアクセスを許可する前に、すべてのユーザーが認証、承認、および継続的な検証を受ける必要があります。 このセキュリティ アプローチには、強力なアクセス制御、認証、承認プロセスの実装、およびネットワーク トラフィックの継続的な監視による潜在的な脅威の検出と対応が含まれます。
• クラウド ネイティブ セキュリティは、クラウド固有のツールとテクノロジーを活用してセキュリティを強化するハイブリッド クラウド セキュリティへのアプローチです。 このアプローチでは、組織の全体的なクラウドネイティブ アプリケーション開発戦略にセキュリティが組み込まれ、コンテナ セキュリティ、マイクロセグメンテーション、サーバーレス セキュリティ、クラウドベースの脅威インテリジェンスとセキュリティ分析が含まれます。
• より多くの組織がエッジ コンピューティングを採用してデータをソースの近くで処理するようになるにつれ、エッジ セキュリティは重要な考慮事項になります。 エッジ セキュリティには、エッジ デバイスとゲートウェイでのセキュリティ制御と監視の実装、およびエッジ デバイスとクラウド間の安全な通信の確保が含まれます。

ハイブリッド クラウドは、すでに多くの企業にとって画期的なテクノロジーであることが証明されており、競争力を維持するために必要な柔軟性、拡張性、コスト削減を実現しています。 しかし、ハイブリッド クラウドのセキュリティ保護は複雑になる可能性があり、機密データとワークロードが常に保護されるようにするには、適切なハイブリッド クラウド セキュリティ戦略が必要です。 

F5 は、ハイブリッド クラウド戦略を簡素化するために、クラウド間で一貫性を保ち、複数の IT 環境にわたってデータとアプリケーションを保護する包括的なセキュリティおよび管理ツールセットを提供します。