マルチクラウドセキュリティとは
クラウドプロバイダーは、インフラストラクチャの管理とアプリケーションの展開にパラダイムシフトをもたらしました。クラウドの導入の初期段階では、1つのクラウドプロバイダーで企業のすべてのビジネス要件に十分に対応できていました。現在は、別のクラウドプロバイダーが提供する機能やサービスを逃したくないため、ちょっとした機能のメリットを受けるために一度に複数のクラウドプロバイダーが必要になっています。
また、他のクライドプロバイダーから提供されるより安価で柔軟性があり、信頼性の高い新しいサービスオファリングも常に存在します。これは、競争の激しい市場と継続的で広範な技術開発による当然の結果です。さらに、複数のクラウドでアプリケーションを実行するとリスクを低減できます。あるクラウドプロバイダーで災害が発生しても、アプリケーションは別のクラウドプロバイダーで実行し続けることができるため、これはビジネスの信用を保つために非常に貴重です。
ただし、マルチクラウドアーキテクチャの管理はきわめて複雑です。その理由は、アクセス、リソース、管理、APIの面で各クラウドプロバイダーが互いに大きく異なっていることにあります。また、複数のクラウドのインフラストラクチャ、アプリケーション、データを保護するために、マルチクラウドセキュリティを実装する必要があります。
このブログでは、マルチクラウドセキュリティの課題について詳しく説明します。また、クラウドネイティブアプリケーションを保護するベストプラクティスも紹介し、それらを複数のクラウドプロバイダーで実行し、メリットを受けることができるようにします。
Porter Airlines
このユーザー事例をお読みになり、Porter Airlinesがクラウド、アイデンティティ、エンドポイントのセキュリティをクラウドストライクでどのように統合したかご覧ください。
ユーザー事例を読むマルチクラウドセキュリティの課題
マルチクラウドはスケーラビリティと柔軟性を向上させますが、より複雑になり、セキュリティ上の新たな課題も伴います。単一のクラウドプロバイダーのツール、またはオンプレミスのデータセンター用のカスタムBashスクリプトでは、マルチクラウドアーキテクチャの課題を克服することはできません。
このため、マルチクラウドの世界に入る前に、これらの課題について準備し理解する必要があります。
ユーザーアクセス制御
IAM(アイデンティティおよびアクセス管理)は、すべてのクラウドプロバイダーにとって不可欠です。この管理の下で、クラウドユーザーはロールを割り当て、クラウドリソースへのアクセス権を付与できます。AWSやAzureを初めて導入する場合は、AWS Identity and Access Management (IAM) やAzure RBACでアクセス許可の階層とロールを作成するために数時間、場合によっては数日を要します。アイデンティティフェデレーション、多要素認証、外部コンプライアンス要件など、検討を要するさまざまな要素があることから、複数のクラウドプロバイダーにわたって同じアクセスレベルの同じポリシーを手動で維持することはほぼ不可能です。
例えば、標準的なポリシーでは、Kubernetesクラスターで開発者がデプロイメントステータスを確認できるようにしています。しかし、Azure Kubernetes ServiceとAmazon Elastic Kubernetes Serviceとでは、読み取り専用モードでKubernetesクラウドサービスにアクセスする方法がまったく異なります。セキュリティで保護した効果的なマルチクラウド運用を実現するには、適切な権限でユーザーアクセスを制御する一元的な外部プラットフォームが必要です。
設定エラー
クラウド運用において、設定エラーが最も一般的な人的エラーです。設定エラーは主に、誤った値の設定、不適切なファイルの使用、または不正な環境変数セットでの実行などで発生します。保守と設定が必要なパラメーターが多数あるため、経験豊富な開発者や運用者でも、このような人的エラーを犯してしまいます。
これらのエラーにより、データ侵害、クラウドリソースへの不要なアクセス、機能停止、さらには完全なクラスター全体の削除にもつながる可能性があります。マルチクラウド戦略を導入する場合、チームはより多くの設定を管理し、正しい設定を使用していることを確認する必要があります。この理由により、自動化ツールと設定管理ツールは、人的エラーに関連するリスクの低減のために必須です。
データガバナンス
データは、ユーザー、製品、価格、注文などのビジネスデータの重要な性質を考慮すると、大多数の組織にとって最も価値のあるアセットです。データガバナンスの実践は、プライバシーとセキュリティを向上させるためにクラウドの機密データに対するユーザーのアクセス権を規制するために必要です。
また、ほとんどの企業にとって、GDPR(EU一般データ保護規則) のようなセキュリティ規制へのコンプライアンスを維持することは不可欠です。マルチクラウドの展開では、アプリケーションとデータを分散して配置します。つまり、そのデータの場所を追跡する必要があります。また、さまざまなクラウドプロバイダー間のアクセスポリシーを合理化し、すべての変更を追跡し続ける必要があります。
オブザーバビリティ
クラウドシステムのオブザーバビリティとは、分散アプリケーションの全体的なステータスを収集することです。複数のノード、データセンター、リージョンに分散されたマイクロサービスアプリケーションからの情報を収集することは、すでに複雑なタスクになっています。各クラウドプロバイダーは、内臓のモニタリング機能を提供していますが、これらの機能は、自社サービスの範囲に限定されています。
例えば、AWS RDSでデータベースを実行すると、AWSモニタリングプランでメトリックを監視できます。ただし、AWS EKS上で実行しているKubernetesクラスターにカスタムアプリケーションを展開する場合は、カスタムのモニタリングソリューションを設計し、実装する必要があります。さらに、マルチクラウド環境では、これがより複雑になります。さまざまなクラウドプロバイダーやインフラストラクチャからメトリックを収集し、一元化する必要があるからです。
共有セキュリティ
共有セキュリティは、クラウドプロバイダーがサービスのセキュリティを部分的に確保し、それ以外のサービスをクラウドユーザーのセキュリティチームが担当するアプローチです。例えば、AWS責任共有モデルでは、AWSクラウドサービスを実行しているハードウェア、ソフトウェア、ネットワーク、ツールの保護はAWSの責任であることが規定されています。Azureも同様のモデルに従っており、物理的なホスト、ネットワーク、データセンターについてはAzureが責任を負うとしています。
使用している各クラウドプロバイダーについて、責任の所在について正確に把握し、マルチクラウド環境で同じセキュリティレベルを確保する必要があります。
詳細
多くの企業は、クラウドに移行する中で、移行プロセスの1つの側面であるサイバーセキュリティを過小評価するか、完全に見落としている可能性があります。組織がクラウドに移行する際に抱く誤解や見落としがちな問題を4つ紹介します。
マルチクラウドセキュリティのベストプラクティスとは
マルチクラウド環境の導入時に従う必要のある周知のベストプラクティスがあります。
- 自動化の使用:インフラストラクチャの運用やアプリケーションの展開とアップグレードなど、クラウド運用におけるあらゆるプロセスを自動化します。マルチクラウド環境のステータスを追跡し、人的エラーを最小限に抑えるには、これが唯一の方法です。
- セキュリティポリシーの同期:クラウド全体で認証、承認、ネットワークポリシーを同水準に維持します。つまり、複数のクラウドプロバイダーに適用できる汎用的な定義を作成して使用する必要があります。
- 総合的なモニタリングの構築:さまざまなモニタリングシステムを統合し、多彩なクラウドプロバイダーで実行されているインフラストラクチャ、ノード、サービス、アプリケーションの総合的なビューを作成します。アラートの作成や、人的介入を最小限に抑えた自己修復方法の実装と並んで、この作業は不可欠な要素です。
- マルチクラウドコンプライアンスの確保:用意されているサービスを統合し、独自のセキュリティ手法を実装して、インフラストラクチャ全体で同水準のコンプライアンスを実現します。クラウドプラットフォームごとに異なる水準のコンプライアンス認証とセキュリティ機能があることから、このようなコンプライアンスがきわめて重要です。
まとめ
現在は、クラウドネイティブなマイクロサービスアプリケーションが複数のクラウド環境に展開される非常にダイナミックな時代です。適切なセキュリティはビジネスにとって重大ですが、容易なことではありません。過去のツールやプラットフォームは、柔軟性、拡張性、俊敏性という点で十分ではありません。このため、複数のプロバイダーのさまざまなクラウドサービスを確保できるクラウドネイティブなセキュリティプラットフォームが必要です。
クラウドストライクのクラウドセキュリティ製品は、ベストプラクティスを実装し、このブログで取り上げている課題に対処します。このプラットフォームは統一性のあるクラウドセキュリティを提供し、複数のクラウドプロバイダーからの脅威を優れた信頼性とスケーラビリティで検知できます。例えば、CrowdStrike Servicesを使用してクラウドプラットフォームをセキュリティで保護すると同時に、Falcon Cloud SecurityのCSPM機能で設定ミスを防ぎます。また、Kubernetes上で実行しているワークロードとコンテナでは、CrowdStrike Container SecurityとFalcon Cloud Workload Protectionを使用してアプリケーション層をセキュリティで保護できます。
この完全なプラットフォームは、マルチクラウド環境に必要なクラウドネイティブなセキュリティに焦点を当てています。また、わずか数分で展開できます。
ヤン・リャン(Yang Liang)は、クラウドストライクのクラウドセキュリティ担当プロダクトマーケティングディレクターです。製品マーケティング、コンサルティング、エンジニアリングで13年以上の経験があります。ヤン・リャン(Yang Liang)は最近までWizのプロダクトマーケティングリードを務めていました。Wizに入社する前は、Oktaでカスタマーアイデンティティ製品マーケティングチームを主導していました。また、同氏は、Google CloudとVMwareでネットワークセキュリティ、AI/ML、クラウド運用のPMMの経験もあります。元Deloitteのコンサルタントであり、Siemensのインダストリアルエンジニアです。ペンシルベニア州立大学でインダストリアルエンジニアリングの学士号を取得し、カーネギーメロン大学のテッパースクールオブビジネスで経営学修士号 (MBA) を取得しています。
