責任共有モデルの仕組み
責任共有モデルでは、クラウド プロバイダーとクラウド顧客のセキュリティ責任について説明します。 一般に、クラウドプロバイダーは、顧客にリースする基盤となるインフラストラクチャのセキュリティに責任を負い、顧客は、制御できるクラウドインフラストラクチャの領域のセキュリティに責任を負います。
クラウドセキュリティの責任の正確な内訳は、お客様が使用しているクラウドサービスの詳細によって異なります。 たとえば、クラウドのお客様は、サービスとしてのインフラストラクチャ (IaaS) モデルの方が、サービスとしてのソフトウェア (SaaS) モデルです。
インフラストラクチャの AWS 責任共有モデル
Amazonのインフラストラクチャサービスには、コンピューティング、ストレージ、ネットワーク、および関連機能が含まれます。 たとえば、 アマゾンEC2では、お客様は独自のオペレーティング システムをインストールし、構成し、その上に必要なアプリケーションを実行できます。
EC2 は、高レベルのアクセスと制御 (つまり、OS レベルまで) を顧客に提供するため、セキュリティに関する責任も顧客に負わせます。 これらのデプロイメント シナリオでは、お客様は、オペレーティング システムと、Elastic Block Store (EBS)、自動スケーリング、ネットワークインフラストラクチャなど、制御下にあるすべての関連サービスを適切にセキュリティで保護する責任があります。 仮想プライベートクラウド(VPC).
一方、AWSは、物理インフラストラクチャを保護する責任があります。 これには、物理サーバーとネットワーク、およびそれらの仮想化テクノロジが含まれます。
コンテナの責任共有モデル
コンテナ化されたサービスは EC2 を使用しますが、抽象化レイヤーが追加されています。 この場合、お客様はオペレーティング システムやプラットフォームを管理しません。
このモデルでは、クラウドのお客様は、以前のモデルよりもセキュリティ責任のレベルが低くなります。 オペレーティングシステムの可視性や制御ができなくなったため、その責任はAWSに移ります。 このモデルでは、お客様は主にファイアウォールの構成とデータの適切な保護(暗号化とアクセス管理の使用)を担当します。
抽象化されたサービスに対する責任共有モデル
抽象化されたサービスの場合、たとえば Amazon S3 と Amazon DynamoDB、お客様は、提供されるサービスのセキュリティを適切に構成する責任を第一義的に負います。 たとえば、お客様が簡単に推測できるユーザー認証情報を持つように DynamoDB を設定した場合、結果として生じるデータ侵害の責任はお客様が負うことになります。
CSPが提供する制御を超えたクラウドセキュリティ
クラウドサービスプロバイダーは、クラウドセキュリティの管理に役立つ多くのツールを顧客に提供しています。 ただし、これらのツールは、組織のクラウドセキュリティ展開の基盤を提供するようにのみ設計されています。
クラウドベースのインフラストラクチャをセキュリティで保護するには、組織がオンプレミスのデータセンターで使用するのと同じ種類のセキュリティ ソリューションを多数導入する必要があります。 これらの必要なソリューションと機能には、次のものが含まれます。
- IDおよびアクセス管理: クラウドベースのインフラストラクチャは、公共のインターネットから直接アクセスできるため、サイバー犯罪者の標的になりやすいです。 IDおよびアクセス管理(IAM) ソリューションは、このアクセスを許可されたユーザーに制限するために不可欠です。
- クラウドネットワークセキュリティ: クラウドサービスは一枚岩ではなく、アプリケーションはクラウド内で通信します。 クラウド向けのネットワーク セキュリティ クラウド資産をセグメント化してクラウド侵害の影響を軽減し、トラフィックを監視し、データプレーンを悪用や水平移動から保護するには、ソリューションが必要です。
- クラウドセキュリティポスチャー管理: これらのソリューションは、データ侵害や漏洩につながる可能性のある設定ミスを自動的かつ継続的にチェックします。 この継続的かつ自動化された検出により、組織は継続的かつ継続的に必要な変更を加えることができます。
- クラウドワークロード保護: クラウドワークロードは、他のアプリケーションと同様のアプリケーションです。 パッチが適用されていない脆弱性、設定エラー、その他の弱点の悪用から保護する必要があります。
- データ保護: 機密データをクラウドに保存する組織が増えています。 このデータは、侵害(転送中および保存中の暗号化を含む)から保護され、適用される法律および規制に従って保護される必要があります。
- 脅威インテリジェンス: サイバー脅威の状況は急速に進化しており、クラウドに対する脅威も例外ではありません。 クラウドセキュリティソリューションには、 脅威インテリジェンス 最新のサイバー脅威を特定して保護します。
チェック・ポイントによるクラウドの保護
AWSのようなクラウドプロバイダーは、ITインフラに関する組織のセキュリティ責任の多くを軽減します。 クラウドプロバイダーは、組織のインフラストラクチャスタックの複数のレベルを抽象化し、その管理下にあるレベルを保護する責任があります。 ただし、クラウドのお客様は、 クラウド セキュリティ.クラウドプロバイダーは、顧客がこれを管理できるように多くのツールを提供していますが、エンタープライズクラウド環境を効果的に保護するには十分ではありません。
チェック・ポイントは、クラウドでのセキュリティ責任を果たすために必要なツールを組織に提供します。 これには、データ、アプリケーション、ワークロードのセキュリティ保護、クラウド内の設定ミス、不正アクセス、脅威、異常の最小化が含まれます。 さらに、これらのクラウドセキュリティソリューションは、組織がクラウドのスケーラビリティ、俊敏性、動的な性質を最大限に活用できるように、完全な自動化を提供します。
クラウド環境を効果的に保護するには、組織のセキュリティ責任と、それを果たすためのベストプラクティスを理解する必要があります。 クラウドセキュリティを向上させるためのベストプラクティスを理解するには、以下をお読みください チェック・ポイントのクラウドセキュリティのブループリント そして、 チェック・ポイントが提供するソリューション をクリックして実装します。
AWS デプロイメントのセキュリティ保護の詳細については、こちらをお読みください 責任共有モデルの概要.また、チェック・ポイントの AWS ソリューションページ チェック・ポイントがAWSのセキュリティ体制をどのように簡素化し、改善できるかをご覧ください。
Feedback