クラウドを保護するために必要な4つの考え方の転換

パブリッククラウドを保護する際の主な課題の1つは、クラウドインフラストラクチャを保護する責任がクラウドプロバイダーとユーザーの間で共有されていることです。これにより、システムのさまざまな部分を保護する責任者が誰にあるのかについて混乱が生じ、クラウド環境全体が適切に保護されていることを確認することが困難になる可能性があります。

ただし、クラウドに安全に移行するための道筋は、技術的なコンポーネントを超えて、組織構造、文化、役割と責任の変化にまで及びます。

そのため、クラウドセキュリティに対する認識が重要です。

パブリッククラウドのワークロードに同様のセキュリティ制御が適用されることを期待しているなら、まあ...失敗する可能性が高いです。

イルミオのテクニカルマーケティングエンジニアであるクリスター・スワーツ氏へのインタビューで、クラウドの保護を目指す組織が直面している課題についてご覧ください。

クラウドには、セキュリティリスクを軽減するための新しい考え方が必要です

前回の記事では、 従来のセキュリティアプローチがクラウドで機能しない理由について説明しました。

クラウド環境のセキュリティ保護に成功するには、戦略的計画、技術トレーニング、動的なクラウドネイティブ環境での自動化とオーケストレーションのための新しい制御が必要です。

Gartner の最近の出版物「パブリック クラウドにおけるセキュリティのソリューション パス」の重要な調査結果では、「クラウド リソースの構成ミスは、クラウド環境におけるデータ損失の主な原因です。セキュリティの適用に責任を負う人についての誤った仮定は、クラウドセキュリティに穴を開けています。」

ゼロトラストセグメンテーションがクラウドセキュリティリスクをどのように軽減できるかについては、こちらをご覧ください。

クラウドセキュリティ:セキュリティチームが行うべき4つの考え方の転換

クラウドセキュリティに関連する課題について詳しく知るために、Christer Swartz 氏にインタビューしました。上記のインタビュー全文を見ることができます。

彼は、組織がクラウドを保護する際に考慮しなければならない次の4つの重要なポイントを提供しました。

1. クラウドのセキュリティを確保するためにベンダーに依存しない

「リフトアンドシフト」は、組織が現在のセキュリティプロセスをオンプレミスに導入し、クラウドに拡張する必要があるという意味ではありません。クラウドに移行すると、セキュリティはベンダーの責任であるという印象がすぐにギャップを引き起こし、侵害が発生する可能性があります。

組織は自社のデータセンターでスタック全体を制御することに慣れていますが、パブリッククラウドでは、責任の境界は、顧客がワークロードを保護する必要がある場所と、ベンダーが基盤となるファブリックを保護する場所に移ります。

2. マルチクラウド環境の計画

すべての雲が同じように作られているわけではありません。

すべてのクラウドプロバイダーには独自のツールがあり、各ポリシーをあるファブリックから次のファブリックに変換するのは面倒で複雑であり、通常はクラウドの盲点を残します。基盤となるファブリックに対するセキュリティ制御を抽象化する不可知論的なアプローチは、複数のツールを扱うという頭痛の種を介さずに、一貫したセキュリティ適用を作成するのに役立ちます。

Gartner の最近のレポート「A Guide to Cloud Security Concepts」では、複数のクラウド アプリケーションにわたる監視、ポリシーの作成、脅威の軽減に「単一画面」を推奨しています

3. CI/CDパイプラインを保護するためのシフトレフト

セキュリティは、アプリケーションのライフサイクル全体にわたってインスタンス化する必要があります。

組織が環境を監視するために本番環境まで待っている場合、マルウェアはすでに拡散している可能性があります。マルウェアはライフサイクルのどの時点でも挿入される可能性があるため、プロアクティブなアプローチにより、リスクを軽減し、より迅速にロックダウンすることができます。

4. クラウドセキュリティについてチームを教育する

文化的な変化は、クラウドを保護する上で見落とされる要素ではありません。実際、新しいプロセスと セキュリティ運用を正常に実装して実行することがおそらく最も重要です。つまり、正直に言うと、開発者の文化とセキュリティの文化は正確には一致しません。

Gartnerが、クラウドセキュリティについてチームを第一のステップとして教育することを推奨しているのも不思議ではありません。

クラウドセキュリティについて知らないかもしれない5つのことを見つけてください。

クラウドセキュリティ戦略の構築によるクラウドリスクの計画

これらの考え方の変化を組織にどのように実装しますか?クラウドに固有のセキュリティ戦略を構築します。

急速なクラウド移行は全速力で進行中ですが、セキュリティプロセスとツールはまだその変化に追いついていません。そのため、組織は クラウドセキュリティ 戦略を策定してクラウドリスク管理を計画する必要があります。

Gartner が説明しているように、「クラウド戦略とは、組織がクラウド コンピューティングを採用し、目標を達成するための高レベルのアクションを説明する一連の選択と決定です。」

重要なのは、組織は、セキュリティツールとプロセスが今後5〜10年にわたって完全に成熟するにつれて、クラウドセキュリティリスクの管理が継続的なプロセスであることを期待する必要があるということです。

クラウドセキュリティ戦略を標準化して形式化することは、リスクとエクスポージャーを軽減しながら 、クラウドサービスの 消費を拡張する最速の方法です。

クラウド導入とセキュリティリスクの継続が予想される

クラウド導入曲線が高移行に急増し続ける中、市場、業界、テクノロジーのすべてが移行に合わせて調整していることは明らかです。

つまり、次のことを確認してください。

• 人、プロセス、テクノロジーを含むクラウド戦略を作成する
• 目的、リスク、組織への影響、および主要な導入原則 (クラウド ファーストの移行戦略とワークロードの配置など) を特定して文書化します。

イルミオがクラウドセキュリティリスクの軽減にどのように役立つかを学ぶ準備はできていますか?デモと相談については、今すぐお問い合わせください。

LinkedIn と YouTube でフォローして、このシリーズの最新ビデオを視聴し、コメントやフィードバックでディスカッションに参加してください。