クラウドセキュリティ
クラウドは2010年から2011年にかけて誇大宣伝でしたが、今日では必需品になっています。多くの組織がクラウドに移行しているため、クラウドセキュリティの必要性が最優先事項になっています。
しかしその前に、クラウドコンピューティングに不慣れな方は、クラウドコンピューティングとは何かを簡単に見てみましょう。
クラウドコンピューティングとは何ですか?
クラウドコンピューティングは、「クラウド」と呼ばれることが多く、簡単に言うと、自分のハードドライブではなく、インターネットを介してデータやプログラムを保存またはアクセスすることを意味します。
ここで、雲の種類について説明しましょう。
パブリッククラウド
パブリッククラウド展開モードでは、展開されるサービスは公開されており、通常、パブリッククラウドサービスは無料です。技術的には、パブリッククラウドとプライベートクラウドの間に違いはないかもしれませんが、パブリッククラウドには誰でもアクセスできるため、セキュリティパラメータは大きく異なります。これには、より多くのリスク要因が関係しています。
プライベートクラウド
プライベートクラウドは単一の組織に対してのみ運用されており、同じ組織またはサードパーティの組織が運用できます。ただし、ハードウェアは定期的に更新されるため、通常、独自のクラウドを使用している場合はコストが高くなります。また、新しい脅威が毎日発生するため、セキュリティもチェックする必要があります。
ハイブリッドクラウド
ハイブリッドクラウドは、プライベートクラウドとパブリッククラウドの両方の機能で構成されています
お客様は、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドのいずれかをどのように決定しますか?
まあ、それはユーザーの要件に依存します。つまり、ユーザーが自分の情報が機密性が高すぎて自分のシステムではなくどのシステムにも存在できないと感じた場合、プライベートクラウドを選択します。
これの最良の例はDropBoxである可能性があります。初期の頃は、オブジェクトを保存するためのバックエンドとしてAWS S3を使用することから始めましたが、現在は独自のストレージテクノロジーを作成して監視しています。
なぜ彼らはこれをしたのですか?
彼らは非常に大きくなったので、パブリッククラウドの価格設定はもはや意味がありませんでした。彼らによると、彼らのソフトウェアとハードウェアの最適化は、AmazonS3にそれらのものを保存するよりも経済的に実行可能です。
しかし、あなたがDropBoxのような大物ではなく、まだプライベートインフラストラクチャを使用している場合は、おそらくその時だと思います。なぜパブリッククラウドではないのでしょうか。
では、なぜ顧客はパブリッククラウドを使用するのでしょうか。
まず第一に、企業が独自のサーバーをセットアップするために必要な投資と比較して、価格設定はかなり安いです。
第二に、評判の高いクラウドプロバイダーとリンクしている場合、クラウド上のファイルの可用性が高くなります。
ファイルまたはデータをプライベートクラウドとパブリッククラウドのどちらに保存するかはまだ混乱しています。
ハイブリッドクラウドについてお話ししましょう。ハイブリッドクラウドを使用すると、より「貴重な」データをプライベートインフラストラクチャに保持し、残りをパブリッククラウドに保持できます。これは、「ハイブリッドクラウド」になります。
結論として、それはすべて、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドのいずれかを選択するユーザーの要件に依存します。
クラウドコンピューティングのセキュリティは、顧客のクラウドへの移行を加速させることができますか?
はい、ガートナーが行った調査を見てみましょう。以下の統計を確認してください。
出典:Gartner
現在、この調査は、クラウドへの移行に少し消極的な企業を対象に実施されました。上の画像から明らかなように、最大の理由はセキュリティです。
これは、クラウドが安全でないことを意味するものではありませんが、人々はこの認識を持っています。したがって、基本的に、クラウドが安全であることを人々に保証できれば、クラウドへの動きが加速する可能性があります。
CIOは、リスク、コスト、ユーザーエクスペリエンスの間の緊張をどのように調整しますか?
これをどこかで読んだのですが、クラウドセキュリティは科学と芸術の混合物です。
混乱していますか?それは、ユーザーエクスペリエンスが低下しないように、サービスにどの程度セキュリティを設定する必要があるかを知る技術です。
例:アプリケーションがあり、それを安全にするために、すべての操作でユーザー名とパスワードを要求しているとします。これは、セキュリティに関しては理にかなっていますが、ユーザーエクスペリエンスを妨げます。
つまり、いつ停止するかを知ることは芸術ですが、同時に科学でもあります。顧客のデータに最大限のセキュリティを提供するアルゴリズムやツールを作成する必要があるからです。
今、何か新しいことが浮かび上がってくると、人々はそれについて懐疑的になります。
クラウドコンピューティングには多くの「リスク」があると考えられています。これらのリスクに1つずつ対処しましょう。
1.クラウドは安全ではありません
ほとんどの場合、クラウドについて話すときはいつでも、AWSセキュリティを備えたAWSサーバーよりも、データが独自のインフラストラクチャでより安全であると言う人がたくさんいます。
会社がプライベートクラウドのセキュリティだけに焦点を当てるのであれば、これは理にかなっているかもしれませんが、明らかにそうではありません。しかし、会社がそうする場合、彼らはいつ彼ら自身の目標に焦点を合わせるのでしょうか?
Java開発に最適なアイデア
AWS(すべての中で最大)などのクラウドプロバイダーについて話しましょう。AWSの唯一の目的はデータを最も安全にすることだと思いませんか?なぜ、それが彼らが支払われているものだからです。
また、面白い事実として、AmazonはAWSで独自のeコマースWebサイトをホストしており、AWSが信頼できるかどうかを明らかにしています。
クラウドプロバイダーは、クラウドセキュリティを生き、食べ、呼吸します。
2.クラウドにはさらに多くの違反があります
2014年のSpringAlert Logic Reportの調査によると、2012〜2013年のサイバー攻撃はプライベートクラウドとパブリッククラウドの両方を標的にしていましたが、プライベートクラウドは攻撃の影響を受けやすくなっています。どうして?独自のサーバーをセットアップする企業は、AWSやAzure、その他のクラウドプロバイダーと比べて設備が整っていないためです。
3.シングルテナントシステムは、マルチテナントシステムよりも安全です。
論理的に考えると、マルチテナントシステムでは、セキュリティの追加レイヤーが付加されていると思いませんか。どうして?コンテンツはシステム上の残りのテナントまたはユーザーから論理的に分離されるため、シングルテナントシステムを使用している場合は存在しません。したがって、ハッカーがシステムを通過したい場合は、セキュリティの1つの追加レイヤーを通過する必要があります。
結論として、これらはすべて神話であり、データをクラウドに移行するときに行う投資の節約やその他のメリットを考慮すると、クラウドのセキュリティに伴うリスクをはるかに上回ります。
そうは言っても、今日の議論の焦点に移りましょう。クラウドプロバイダーはどのようにセキュリティを処理しますか。
そこで、ここで例を挙げて、ソーシャルネットワーキング用のアプリを使用していると仮定しましょう。ランダムなリンクをクリックしても何も起こりません。後で、スパムメッセージがアカウントからそのアプリケーションで接続しているすべての連絡先に送信されていることがわかります。
しかし、メールをドロップしたり、アプリのサポートに文句を言ったりする前に、彼らはすでに問題を認識しており、問題を解決するために稼働しているでしょう。どうやって?理解しましょう。
したがって、基本的にクラウドセキュリティには3つの段階があります。
- モニタリングデータ
- 可視性の獲得
- アクセスの管理
ザ・ クラウドモニタリング クラウドアプリケーションのデータフローを絶えず分析するツールは、アプリケーションで「奇妙な」ことが起こり始めるとすぐに警告を発します。彼らはどのように「奇妙な」ものを評価しますか?
クラウド監視ツールには、通常のシステム動作をログに記録する高度な機械学習アルゴリズムがあります。
したがって、通常のシステム動作からの逸脱は危険信号となり、既知のハッキング手法もデータベースにリストされます。したがって、これらすべてを1つの画像にまとめると、監視ツールは何か怪しいことが起こったときにアラートを発します。
「通常ではない」ことが起こっていることがわかったら、いつどこでステージ2が来るのかを知りたいと思うでしょう。 可視性を得る 。
これは、クラウドに出入りするデータを可視化するツールを使用して実行できます。これらを使用すると、障害が発生した場所だけでなく、「誰」が同じ責任を負っているのかを追跡できます。どうやって?
これらのツールはパターンを探し、疑わしいすべてのアクティビティを一覧表示するため、どのユーザーが同じことを担当しているかを確認します。
さて、責任者は最初にシステムから削除する必要がありますよね?
ステージ3になります。 アクセスの管理。
アクセスを管理するツールは、システム上にいるすべてのユーザーを一覧表示します。したがって、この個人を追跡して、システムから彼を一掃することができます。
では、この個人またはハッカーはどのようにしてシステムの管理者アクセスを取得したのでしょうか。
おそらく、管理コンソールのパスワードがハッカーによって解読され、アクセス管理ツールから自分の管理者ロールが作成され、残りは履歴になりました。
さて、あなたのクラウドプロバイダーはこの後何をしますか?彼らはこれから学び、二度と起こらないように進化するでしょう。
この例は理解を目的としたものであり、通常、ハッカーはそのようにパスワードにアクセスすることはできません。
ここで焦点を当てるのは、クラウド会社がこの侵入から進化し、同じことが二度と繰り返されないようにクラウドセキュリティを改善するための対策を講じたことです。
現在、すべてのクラウドプロバイダーはこれらの段階に従います。最大のクラウドプロバイダーであるAWSについて話しましょう。
AWSはawsクラウドセキュリティのためにこれらの段階に従いますか?みてみましょう:
クラウドモニタリングの場合、AWSには CloudWatch
データの可視性について、AWSは CloudTrail
そして、アクセスを管理するために、AWSは 既に
これらはAWSが使用するツールです。それらがどのように機能するかを詳しく見ていきましょう。
CloudWatch
AWSリソースに出入りするデータを分析する機能を提供します。クラウドセキュリティに関連する次の機能があります。
- EC2およびその他のAWSリソースを監視します。
- 追加のソフトウェアをインストールしなくても、AWSCloudWatchを使用してEC2のパフォーマンスを監視できます。
- カスタムメトリックを監視する機能:
- カスタムメトリクスを作成し、CloudWatchを介して監視できます。
- ログの監視と保存:
- AWSリソースで発生しているアクティビティに関連するログを監視および保存できます。
- アラームの設定:
- すぐに注意が必要なアクティビティなど、特定のトリガーにアラームを設定できます。
- グラフと統計の表示:
- このデータは、グラフやその他の視覚的表現の形で視覚化できます。
- リソースの変更を監視して対応する:
- リソースの可用性の変化に対応するように、またはリソースが適切に機能していないときに対応するように構成できます。
CloudTrail
CloudTrailは、API呼び出しの履歴をログに記録するために使用できるログサービスです。また、AWS管理コンソールのどのユーザーが特定のサービスをリクエストしたかを識別するためにも使用できます。この例を参考にすると、これは悪名高い「ハッカー」を特定するためのツールです。
既に
Identity and Access Management(IAM)は、AWSアカウントへの共有アクセスを許可するために使用されます。次の機能があります。
- きめ細かい権限:
- 非常にセルラーレベルで、さまざまな種類のユーザーにアクセス権を付与するために使用できます。例:特定のユーザーに読み取りアクセスを許可し、別のユーザーに読み取り/書き込みアクセスを許可できます。
- EC2環境で実行されているアプリケーションへの安全なアクセス:
- IAMを使用して、ユーザーに資格情報を入力させ、それぞれのEC2リソースにアクセスさせることで、安全なアクセスを提供できます。
- 自由に使用できます:
- AWSは、IAMサービスを互換性のあるすべてのawsサービスで無料で使用できるようにしました。
AWSシールド
これは、マネージドDDOS拒否サービスです。 DDoSとは何か、簡単に見てみましょう。
DDoSは基本的に、Webサイトをダウンさせることを目的として、無関係なトラフィックでWebサイトを過負荷にしています。それはどのように機能しますか?ハッカーは、インターネットに接続された多数のコンピューターに感染することでボットネットを作成します。あなたが時々あなたのメールで受け取るそれらの奇妙な電子メールを覚えていますか?宝くじ、医療援助など。基本的に、何かをクリックすると、コンピューターにマルウェアがインストールされ、それがトリガーされて、無関係なトラフィックでコンピューターがプラスワンになります。
あなたのウェブアプリケーションについて不安がありますか? AWSシールドにならないでください。
2種類のサービスを提供します。
- 標準
- 高度な
ザ・ 標準 パッケージはすべてのユーザーが無料で利用でき、AWSのウェブアプリケーションはデフォルトでこのパッケージで自動的にカバーされます。次の機能が含まれています。
- クイック検出
- 異常アルゴリズムを使用して、外出先で悪意のあるトラフィックを検出します。
- インライン軽減攻撃
- 自動緩和技術がAWSShieldに組み込まれているため、一般的な攻撃から保護できます。
- アプリケーションをサポートするカスタムルールを追加します。
十分ではない?あります 高度な パッケージも。少しの追加コストで、Elastic Load Balancer、Route 53、CloudFrontリソースをカバーできます。
すべてが含まれていますか?みてみましょう:
- 強化された検出
- リソース固有の監視などの追加の手法が含まれ、DDoS攻撃の詳細な検出も提供します。
- 高度な攻撃軽減
- より洗練された自動緩和。
- 可視性と攻撃通知
- CloudWatchを使用したリアルタイム通知。
- 専門サポート
- 特別なDDoS対応チームによる24時間365日のサポート。
- DDoSコスト保護
- DDoS攻撃によるコストスパイクの過負荷を防ぎます。
結論として、成功を収めたクラウドプロバイダーは、クラウドセキュリティの最高水準に準拠しており、すぐにではないにしても徐々に、クラウドを信頼していない人々は、クラウドに移行する必要があることを理解するでしょう。
だからみんな!クラウドセキュリティに関するこのブログを楽しんでいただけたでしょうか。このクラウドセキュリティブログで学んだことは、採用担当者がAWS Solution ArchitectProfessionalに求める最も人気のあるスキルセットです。こちらがコレクションです 次のAWS就職の面接の準備に役立ちます。 AWSの詳細については、 ブログ。また、ソリューションアーキテクト試験をクラックするために必要なものを正確にカバーするカリキュラムを考案しました。あなたはのためのコースの詳細を見ることができます トレーニング。質問がありますか?このクラウドセキュリティブログのコメントセクションでそれについて言及してください。折り返しご連絡いたします。