クラウド時代のセキュリティ慣行の改善 (08.01.25)
クラウドコンピューティングは繁栄しており、クラウドベースのサービスの利用は近年大幅に増加しています。ほとんどすべての中小企業組織は、何らかの形のデジタルトランスフォーメーションイニシアチブまたはクラウドコンピューティング戦略を実施しています。セキュリティは業界の主要なコンポーネントであり、機密データと特権情報の保護が最優先事項です。
クラウドサービスプロバイダーは、ビジネス資産と制御を保護するためにゼロから設計された本質的に安全なプラットフォームを運用しています論理的ですが安全な方法でアクセスします。幸い、専用のクラウドパートナーを選択する場合、企業は既存のサービスとしてのセキュリティプラットフォームに直接接続することを選択できます。このプラットフォームは、業界のベストプラクティスを超えるように設計されており、技術的な複雑さと莫大なコストを軽減できます。社内のDIYアプローチ。
クラウドの保護は、プロバイダー、コンシューマー、および関連するすべてのサードパーティの間で共有される責任です。クラウド時代にはセキュリティの意思決定が不可欠であることは間違いありません。すべてのクラウドベースのプラットフォームは、クラウドインフラストラクチャサービスを熱心に消費する必要があります。疑いを持たないシステム管理者がクラウドサーバーを誤って構成し、システム全体にドアを大きく開いたままにしてしまう可能性は依然として非常に高いです。
クラウド分析すべてのコンピュータシステム(クラウドとネイティブまたはシステムがクラウドプロバイダーに移行され、入念なレビューにより完全なセキュリティが確保されます。このプロセスは、機密データがどのように共有およびアクセスされるかを理解するように設計されています。所有しているデータ、データを処理および変換する方法、およびそのデータが保存または送信される場所を正確に把握することは、必須のセキュリティレビューコンポーネントです。
分析は完了するのに困難で時間のかかる作業ですが、機密データまたは規制されたデータを特定し、それを保護するための適切な措置を講じることが不可欠です。多くのプロバイダーには、システム構成とセットアップデータを直接送信して確認できるエージェントベースのツールがあります。この自動化されたプロセスの構成には数分かかりますが、既存の環境の概略図を作成するのに役立ちます。
収集された情報は、既存または提案されたクラウドプラットフォームの監査に役立ち、サーバーを特定して防止するための優れたツールです。設定ミス。また、ネットワーク上で発生している悪意のある、または予期しない動作を明らかにすることもできます。例としては、資格情報を共有するユーザー、Active Directoryユーザーアカウントで実行されているシステムサービス、脆弱なパスワードポリシー、脆弱なファイルとフォルダーのアクセス許可などがあります。
目的は、クラウドに移行する前に問題を修正することです。従業員のトレーニングがすでに開始されているのは、この初期段階です。情報を共有し、クラウド戦略の将来の抱負についてのトレーニングを提供することは素晴らしいスタートです。選択したパートナー、ユーザー、コンピューターのエチケットについてトレーニングし、マルウェア、ウイルス、ランサムウェアの防止に役立つセキュリティのベストプラクティスについて詳しく説明します。
クラウドサービスの保護クラウドサービスを安全に設計するには、多くの作業を行う必要があります。組織のクラウドプラットフォーム。本番ワークロードとシステムがクラウドで実行を開始したら、セキュリティアーキテクチャを再検討して、目的に適合していることを確認する必要があります。暗号化、ネットワークセグメンテーション、ファイアウォールなどのハードウェアレイヤー保護の大部分はすでに実施されており、プロセスはプロバイダーによって微調整されます。
いくつかのセキュリティポリシーを作成して確認する必要があります。これらは、データの制御に関する重要な側面をカバーしています。クラウドのほぼ無制限のストレージ容量は、企業にとって大きな魅力です。ただし、ストレージのタイプと配置されているコントロールは非常に重要です。どのデータがどの場所に保存されているかに関するポリシーは?機密データは海外で許可されていますか、それともコンプライアンス上の理由でオンショアのままにする必要がありますか?
ストレージバケットには、データの作成と削除に関する監査管理が必要です。アクセス制御をチェックして、許可されたユーザーがファイルを操作するための正しいアクセス許可を持っていることを確認する必要があります。データの保持期間と削除期間を監視するための管理が実施されています。一部の企業は、最大7年間データを保持することを選択します。この期間の後、組織はデータを削除する義務があります。クラウドストレージは、この頭痛の種の大部分を自動化できます。
データの整合性はクラウド時代に不可欠です。クラウド内のすべてのデータを、できれば独自の暗号化キーを使用して暗号化することを強くお勧めします。 USBペンドライブへのデータダンプなど、データが外部デバイスに移動しないようにするための対策を講じる必要があります。多くのセキュリティスイートは、この機能をすぐに利用できます。
もう1つの重要なセキュリティ対策は、環境全体のセキュリティの脆弱性を常に監視することです。これは、セキュリティ専門家のチームが完了する必要がある重要なタスクです。セキュリティプラットフォームは、パブリックインターネットから外部の公開IPアドレスをスキャンするために使用され、SecOpの専門家は内部ネットワークとシステムの弱点をスキャンします。
このアクティビティは、脆弱性を修正するために必要な多数のアクションを作成します。典型的な例には、オペレーティングシステムとアプリケーションに見られる弱点、Webサイトで使用される弱いセキュリティ暗号、および使用されている弱いパスワードまたはデフォルトのパスワードが含まれます。既知の脆弱性の広範なデータベースに対してもスキャンが完了します。各脆弱性が報告され、エクスプロイトの重大度とリスクの可能性が含まれています。
多要素認証(MFA)は、クラウドサービスへのアクセスを保護するために期待される標準です。アクセスするための最も一般的な方法は、デバイス(通常は携帯電話)からユーザー名、個人のPIN、および保護されたコードを提供することです。これらの保護は通常、ターゲットクラウドVPSへのVPNトンネルの開始など、ネットワークレイヤーで見られますが、Webサイトや機密性の高い本番サーバーへのセキュリティの追加レイヤーとして使用できます。
多くの組織はさらに一歩進んで、パケットがネットワークに出入りするときにパケットを検査するスクリーニングサービスを介してすべてのネットワークトラフィックをプロキシします。このアプローチにより、ログ機能と追跡機能が向上しますが、許可されていないアドレスをブラックリストに登録することも非常に簡単です。
SecOps組織のコンピューターシステムがクラウドに組み込まれた後は、日常の運用活動の要件が多数あります。 。これらのプロセスは、クラウド時代のセキュリティのベストプラクティスを改善するように設計されています。クラウドアクセスポリシーを継続的に更新および修正することで、企業はアクセスを強化し、承認されたユーザーがシステムアクセスのみを持つことを保証できます。
セキュリティ情報の管理には、技術的な手順が最新であり、文書化された操作手順がクラウドプラットフォームで利用可能である必要があります。これにはいくつかの目的があります。従業員の知識の伝達とトレーニングに役立ち、組織にビジネス継続性機能も提供します。セキュリティのベストプラクティスでは、システム障害が発生した場合にシステムの再起動とデータ回復の手順を利用できるようになっています。
ドキュメントでは、組織が情報を処理および処理する方法を明示的に定義し、バックアップポリシーを定義し、スケジュール要件を含める必要があります(開始/タスクの終了時間)、エラーやその他の例外的な状態を処理するための手順、および機密情報を処理して安全に廃棄する方法を含めます。
SecOpsのセキュリティプラクティスは、変更管理プロセスを対象としています。これには、重要な変更の記録、計画、および影響評価を含む変更のテストが含まれます。すべての変更は、セキュリティ担当者を含むパネルによって承認される必要があり、すべての関係者に情報が提供されます。
その他のセキュリティ慣行には、容量管理計画、開発、テスト、および生産施設の分離が含まれます。マルウェアに対する制御を実装し、ウイルス対策制御が実施されていることを確認します。システムのバックアップとデータのバックアップが完了し、地域の法律(GDPRまたはCCPA)に従って情報が維持されます。
サービスの詳細なロギングと監査が非常に望ましいです。レコードは、SIEMプラットフォーム内で収集および維持できます。これには、Webサーバー、アプリケーションサーバー、およびデータベース製品で有効になっている適切なレベルのログが含まれます。その他の領域には、特権アクセス、不正アクセスの試行、システムアラート、およびシステムセキュリティ設定に加えられた変更の監視が含まれます。
YouTubeのビデオ: クラウド時代のセキュリティ慣行の改善
08, 2025