概要
このモジュールでは、クラウド内の資産を守ることに伴う問題をいくつか提示し、そのような問題に対峙する組織を支援するテクノロジや方法論を紹介しました。 重要な点をいくつかおさらいすると次のようになります。
何もしないと情報は守られません。管理者が先手を打って保護する必要があります。
クラウドに格納されている情報の安全については、クラウド サービス プロバイダーとクラウドを利用する顧客が責任を分担します。 CSP はクラウド "自体の" セキュリティに責任を負い、顧客はクラウド "内の" セキュリティに責任を負います。 たとえば、顧客がクラウドに展開したアプリケーションを守ることは顧客側の責任になります。
Microsoft、Amazon、Google が採用している共有責任モデル (SRM) では、誰が何に責任を負うかが定義されます。
クラウドの資産は常に攻撃にさらされています。 クラウド セキュリティ アライアンスでは、クラウド セキュリティにとって大きな脅威となるものを記録しており、脅威に対抗する組織を支援しています。
保存中と転送中を問わず、データを守る上で暗号化が重要な役割を果たします。
保存データの暗号化には、通常、対称暗号化が使用されます。 対称暗号化では、同じキーを使用してデータを暗号化し、暗号化解除します。 Advanced Encryption Standard (AES) は、一般的な対称暗号化アルゴリズムです。
非対称暗号化は "公開キー暗号化" とも呼ばれ、移動中のデータを暗号化するためによく使用されます。 トランスポート層セキュリティ (TLS) では、当事者間 (たとえば、Web ブラウザーと Web サーバーの間) の回線を介して移動するトラフィックが暗号化され、その際に対称暗号化と非対称暗号化の組み合わせが使用されます。
データを暗号化する際の最大の課題は、暗号化自体ではなく、キーを安全に保管し、当事者間で安全にやり取りする方法にあります。
Azure Key Vault や AWS キー管理サービスなどのサービスでは、暗号化キーの安全なストレージが提供されます。
サーバー証明書を使用すると、サーバーからクライアントに公開キーを提供し、クライアントでサーバーの真正性を確認できるようになります。
データ セキュリティの最適な手法は、複数のレベルにおける複数の防御を含む多層レイヤーを備えることです。 攻撃者が 1 つの防御を侵害した場合、次の防御によって止めることができる可能性があります。
データ セキュリティ プラットフォーム (DSP) は、管理者がセキュリティ プロトコルを実装するのに役立ちます。 現在のパブリック クラウド プラットフォームでは、データ アクセスのログ記録やデータの検出と分類など、多くの DSP 機能に対するサポートが統合されています。
クラウド システムのセキュリティには、入念な計画と理解が必要です。 セキュリティとはプロセスであり、クラウド管理者やクラウド セキュリティの専門家が絶えず心を配るべきものです。