1つのクラウドサーバーを使うのが良いのなら、複数のクラウドサーバーを使う方がもっと良いのではないか?
多くの大企業が、ベストプラクティスとしてマルチクラウドインフラを採用するようになっている。 ハーバード・ビジネス・レビュー調査, 回答者の85%は、「組織は少なくとも2つのクラウドを使用しており、そのうちの4分の1は5つ以上のクラウドを使用している」と答えている。フレクセラの 2022 クラウドの現状レポート マルチクラウドは最も人気のあるクラウドインフラであり、89%の企業が利用している。
AWS、Azure、Google Cloud Platformなど、複数のクラウドインフラを組み合わせて利用することで、企業はパフォーマンスを最適化し、耐障害性を確保し、特定のベンダーに過度に依存することを避けることができる。
しかし、マルチクラウド・インフラストラクチャは企業が重要な目標を実現するのに役立つ一方で、管理者にとっては新たな課題も生じる。
よく言えば、こうした課題は非効率と無駄な労力を生む可能性がある。最悪の場合、複数のクラウド環境にまたがってユーザー、権限、アクセス、認証、アクセスの取り消しを管理することは、企業を不必要なリスクにさらし、重大なセキュリティの脆弱性をもたらす可能性がある。
多くの場合、クラウド・プロバイダーのセキュリティ機能は、これらの問題を解決するには不十分である。複数のクラウド・ガバナンスの失敗事例を研究し、セキュリティ・ファーストの組織に対してそれらに対処する最善の方法について助言した結果、企業がクラウドを保護し、ゼロ・トラストに移行するのに役立つIDガバナンスのベスト・プラクティスを以下にまとめた。
マルチクラウド環境の拡大と、それに伴い拡大するクラウドエンタイトルメントを管理する上での課題は、リスクの増大につながっている。
管理者は、こうした課題が最初から発生する可能性があることを認識する必要がある。ITチームは、クラウド・プロバイダーの複雑なアイデンティティ・アクセス管理(IAM)環境が、オンプレミスの利用履歴やアクセス権限と一致していないことに気づくだろう。そして、問題はそこから始まる: ベンチャービート 最近、ガートナーは「クラウドセキュリティの失敗の99%は、コントロールの誤設定に起因する」という予測を発表した。
「マルチクラウドの構成が複雑になればなるほど、ゼロトラスト実装のための地雷原となる。
この四角四面の問題は、クラウド・プロバイダーがあらかじめ用意している様々なIAM機能をまず学び、その設定と管理方法を理解することで、管理者がすぐに対処しなければならない問題だ。
大まかに言えば、組織がマルチクラウド環境に移行するにつれて、3 つの主要なアイデンティティ・ガバナンスの課題が拡大すると考えられる。これらの課題は、組織独自のガバナンス・ポリシー、クラウド・プロバイダーのガバナンス・ポリシー、またはその両方/両方の組み合わせから生じる可能性がある:
- 偶発的なデータ暴露:多くの場合、権利と資産の誤った設定に起因し、あるリソースがプライベートであるべきなのにパブリックのままになっている。ガートナーはまた、今年、企業の半数が「知らず知らずのうちに誤って、一部のアプリケーション、ネットワーク・セグメント、ストレージ、APIを直接公開し、2018年の4分の1から増加する」と予測している。
- 過剰な権利:ある環境でユーザー・プロファイルが過剰にプロビジョニングされ、その同じプロファイルが別の環境に移行されると、今度はさらに広い範囲での爆発に対処することになる。組織がさらに多くのクラウド環境を採用すればするほど、この問題は指数関数的に大きくなる。これは古い考え方ですが、組織は必要最小限の特権に移行しなければなりません。最小特権は単に優れたサイバーセキュリティというだけでなく、ゼロ・トラスト・ポスチャに移行するための重要な要素でもあります。
- 脆弱なパスワードの再利用:過剰にプロビジョニングされたユーザーがある環境から別の環境に移動するのと同様に、ユーザーは同じパスワードをクラウドのテナント間で頻繁に再利用している。1つの脆弱なパスワードで複数のクラウド環境にアクセスするのは良くない。企業は、可能な限りパスワードレス認証を使用するよう努力すべきである。暫定的には、少なくともパスワードのローテーションを義務付け、多要素認証(MFA)プロセスを追加すべきである。
業界がこのような新たな課題に対応する方法の1つが、Cloud Infrastructure Entitlement Management(CIEM)であり、ID-as-a-Serviceクラウドエンタイトルメントの問題を管理するための新しいプロセスである。CIEMは、クラウドテナントがクラウドエンタイトルメント問題の頻度と影響を増大させている特定の方法を考慮に入れている。
CIEMは、CIAM(Customer Identity and Access Management)、XIAM(External Identity and Access Management)、EIAM(Enterprise Identity and Access Management)のような関連するガバナンスプログラムの仲間入りを果たす。
しかし、CIAM、XIAM、EIAMとは異なり、CIEMは権利を管理し、効果的な廃止を保証するだけではありません。CIEMソリューションはまた、現在の権利をプレビューし、効果的なアクセスレビューを保証し、すべてのタイプの異なるユーザーの権利が彼らの意図された使用と一致していることを検証し、会社のデータ、情報、またはシステムを公開することを防ぎます。
クラウド環境は24時間アクセス可能であるため、パブリッククラウド環境のリスクはオンプレミス環境よりも大きい。こうしたリスクは、組織が複数のクラウド環境を統合するにつれて指数関数的に増大する。
CIEMが対応するもう1つのニーズは、パブリッククラウド環境のコスト管理だ。パブリッククラウドのリソースを管理していた従業員が会社を辞めた場合に何が起こるかを考えてみよう。適切な管理体制と冗長性がなければ、一定期間のみ稼働する予定だったリソースが、管理する所有者なしにリソースを消費し続ける可能性がある。
クラウドリソースの存在を忘れると、企業はより多くのコストを負担することになる。元管理者が元会社のドメインでホストを作成し、顧客をフィッシングして情報を流出させる可能性もある。詐欺師があなたのブランドになりすまし、パスワードを盗むのは悪いことだが、ブランドの悪用が企業内部から行われるのはもっと悪いことだ。
最後に、脅威者はクラウド・プロバイダー自体に侵入し、そのアクセスを使ってクライアントを攻撃する可能性がある。2021年12月、 ブラジル保健省 は、攻撃者がクラウド・プロバイダーのインフラ環境からユーザー認証情報を盗んだことを明らかにした。このアクセスにより、攻撃者は同省がプロバイダー上でホストしていた資産を破壊し、クラッシュさせた。 コネクテス その結果、パンデミックの間、ブラジル人が予防接種を受けることができなくなる。
良いニュースは、組織がマルチクラウド環境を保護するために実施できるガバナンスのベストプラクティスがあるということだ。
ブラジルの保健省の違反は、組織がクラウド・プロバイダーのエンタイトルメントを管理するために、CIEMやEIAM環境とは別のIGA環境を維持すべきことを示した。
独立したIGA環境は、ユーザーの権限を管理するために必要なデータ量と複雑さをより適切に管理できる。さらに、情報漏洩のリスクを考えると、独立したガバナンス・システムを維持することで、ハッカーが横方向に移動して重要な情報にアクセスすることが難しくなる。
完全に独立した環境を構築するにせよ、ガバナンス環境を他のデータと組み合わせるにせよ、セキュリティチームは、その環境にアクセスできるユーザーを特権アカウントとして考慮すべきである。
同様に、セキュリティチームは、CIEMインスタンスを管理するために使用されるシステムが、適切な程度のレイヤードプロテクションを受けていることを確認する必要がある。最低限、多要素認証(MFA)を含めるべきである。通常、クラウド・プロバイダーはMFAを簡単に組み込むことができ、特定の環境とクラウド・プロバイダー全体の両方のセキュリティ確保に役立つ。
組織は、認証要件を動的に変更する機能など、信頼ゼロに近づける機能を含めることも検討すべきである。
スマート・セキュリティ・システムは、ユーザの場所、デバイス、ネットワーク、その他のシグナルを評価し、リアルタイムでリスクを検証し、必要に応じてアクセスを制限することができる。パスワードのローテーション、権限の一時的な有効化、セッション管理、監査などの追加的な対策により、ガバナンス環境のセキュリティをさらに強化することができる。
ユーザーの行動を可視化することで、スマートなIAMシステムは、どのイベントが予期されるもので、どのイベントがリスクを示すものかを理解するように学習することができる。
システムが問題を検出した場合、組織のインシデント対応チームは、悪用されたアカウントをブロックするためにアクセスを管理するあらゆるツールを使用できなければならない。
マルチクラウド環境の利用は非常に普及しているため、組織は特定の環境向けに開発しているセキュリティが他の環境にも適用できることを確認する必要がある。
組織が単一のクラウド環境を管理するために使用するソリューションが何であれ、同様のアクセスポリシーを異なるプロバイダーにエクスポートできるようにすべきである。Azureのデータベース管理者に割り当てられている権限は、AWS環境を管理する際に同じ人に割り当てられている権限をミラーリングする必要がある。そうすることで、企業はより多くのクラウド環境を統合する際に、セキュリティ設定を拡張することができる。
しかし、マルチクラウド環境においてカスタムプロファイルを拡張できるとは限らない。このようなカスタムプロファイルは、カスタムプロファイル、管理者、その他のリスクの高いユーザーについては追跡できない可能性があるため、組織は、クラウド環境ごとに異なるユーザー根拠に対してマッピング機能がどのように機能するかを確実に理解しておく必要がある。
