クラウドホスティングのメリット

クラウドホスティングは、スピードと俊敏性をあらゆる企業に提供します。 Amazon (AWS)、Microsoft Azure、Microsoft Web Services などのクラウド インフラストラクチャ (サービスとしてのインフラストラクチャ (IaaS) ) を導入することで、チームはスピードとともに節約と効率を実現できます。

IaaS の具体的なメリットには、次のようなものがあります。

  • コスト削減:これは、IaaS の最も明白なメリットです。 コスト削減には、容量価格の低下や、リソースの低減、物理機器の構成や保守、交換に費やす時間の短縮などが含まれます。 また、IaaSは通常、従量課金制モデルで提供されるため、ユーザーは必要なときに必要な分だけ支払います。
  • 拡張性:オンプレミスのシステムは、セットアップ、構成、保守に手間がかかる場合があります。 クラウドでは、サーバーを数分でプロビジョニングし、すぐに使用できます。 これは、従来のオンプレミス サーバーのプロビジョニングよりも非常に高速で効率的です。
  • 市場投入までの時間:過去10年間にそれぞれの業界を混乱させた多くの組織は、クラウドコンピューティングを成功を可能にするための重要な要素として認めています。 IaaSの弾力性は、インフラストラクチャがそれを回避するチームと同じくらい動的である可能性があることを意味します。

Azure セキュリティとは何ですか?

Azure セキュリティは、Azure クラウド環境をセキュリティで保護するためにマイクロソフトが提供するネイティブ セキュリティ要素の組み合わせです。 物理インフラストラクチャとネットワーク要素はこの保護下にあり、ID、データ、ネットワーク、アプリにわたる組み込みのコントロールとサービスを備えています。 ただし、お客様は、Azure クラウドで運用する専有データのセキュリティをさらに強化する責任を認識する必要があります。

Azure セキュリティ センターとは何ですか?

Azure セキュリティ センターは、セキュリティ イベントを監視し、それらのイベントのアラートを作成するための中央ハブです。 クラウド ワークロードの脅威保護機能を備え、いつでもリソースの状態を可視化できます。 また、Azure エコシステムの一部ではないハイブリッド クラウド環境を監視することもできます。

クラウドのセキュリティ

クラウドホスティングのメリットは十分に文書化されていますが、 クラウドセキュリティ は多くの組織にとってまだ新しいものです。 現実には、ほとんどの場合、オンプレミス環境に存在するのと同じセキュリティの考慮事項と責任が、クラウドにも存在します。

新しい課題の1つは、オンプレミス環境の境界はよく理解されていますが、クラウドホスティングとクラウドアプリケーションへの移行により、境界がよりユビキタスになっていることです。 クラウドのお客様は、セキュリティの責任をプロバイダーと共有し、再発を避けるために、これらの責任を十分に理解し、文書化する必要があります。 Microsoft Azure 環境のセキュリティ保護の詳細、または AWS クラウドセキュリティのベストプラクティスの詳細については、以下をお読みください。

Microsoft Azure Cloud はどの程度安全ですか?

Microsoft Azure のお客様は、一部の Azure クラウド セキュリティ機能にアクセスできますが、包括的なカバレッジのために、独自のセキュリティ対策とツールでそれらを補完する必要もあります。 お客様は、Azure クラウド コンピューティング インフラストラクチャと、使用している可能性のある Microsoft の SaaS アプリケーションのセキュリティ保護と監視を検討する必要があります。

Azure クラウドでの ID およびアクセス管理

オンプレミスのシステムと同様に、誰がいつ何にアクセスしているかを理解することが重要です。 移行に先立ち、チームはこれが最初にどのようになるかだけでなく、クラウドの導入が時間の経過とともに拡大するにつれてこれをどのように拡張するかについても計画を立てる必要があります。 多要素認証と最小限のアクセス権限は、開始するのに適した場所です。

箱の中身を理解することも重要です。 すべてのパッケージが同じように作成されているわけではなく、残念ながら、一部の基本的な監視がデフォルトで含まれていないか、オンになっていない可能性があります。 繰り返しになりますが、移行前にセキュリティ カバレッジの範囲を十分に理解し、既存のギャップを埋めるための適切な計画が整っていることを確認することが重要です。

Azure クラウド セキュリティのベスト プラクティス

あらゆる環境を保護する場合と同様に、Azure クラウドとユーザーを保護するための最初の手順は可視性です。 悪意のある可能性のある動作の早期検出は、環境内のアクティビティを理解することにかかっています。 クラウド ログはこの分析情報の最適なソースですが、多くのチームはこのタイプのログ記録に不慣れであり、これらのログを構成してそれらから実用的な分析情報を生成するときに課題に直面する可能性があります。

チームがクラウドへのログ記録の計画を立て、Azure 環境に最も関連性の高いログを決定する際には、成功を確実にするための重要な考慮事項がいくつかあります。

まず、ログをオンにする必要があります。 一部の Azure ログは既定で有効になっていますが、他の多くのログは明示的に構成する必要があります。 各サブスクリプション層には異なる既定のログ構成があり、適切なログが流れるように調整する必要がある場合があります。 仮定をしないでください。 既定でオンになっているログを理解し、不足している可能性のあるログを構成し、関連する予期されるオブジェクトがこれらのログにキャプチャされていることを確認することが重要です。

次に、イベント ハブに一元化します。 データのエクスポート方法は、ログの種類によって異なる場合があります。 たとえば、イベント ハブ ログは、ログを構成するときに、エクスポート機能、設定、またはチェック ボックスを介して提供される場合があります。 ログが適切に流れていることを確認する必要があります。

第三に、サブスクリプションを確認します。 繰り返しになりますが、サブスクリプションの種類ごとにログ記録と構成のニュアンスがあります。 たとえば、Azure Security Center へのアクセスはすべてのサブスクリプション レベルで利用できるわけではないため、これらのサード パーティのアラートを見逃す可能性があります。 Azure Active Directory サインインと監査ログは、多くのセキュリティ チームが必須と見なすものであり、開始するには少なくとも P1 または P2 サブスクリプションが必要です。

適切な構成とログ フローが整ったら、チームはこのデータをセキュリティ情報およびイベント管理 (SIEM) ツールにプッシュし始めることができます。Azure イベント ハブは、多くの場合、ログを集計して SIEM にエクスポートするために利用されます。この場合も、ログはイベント ハブにフローするように個別に構成されます。

このデータを SIEM で使用すると、Azure 環境の可視性が統合されるだけでなく、環境内の他のシステムからのデータと共にこのデータを表示することもできます。一部の従来のSIEMでは、これらの多様なデータセットをまだ注入できない場合があります。最新の SIEM を評価するときは、チームがクラウド、オンプレミス、リモート資産間でデータを集計する方法を理解し、検証することが重要です。さらに、強力なSIEMツールは、正規化、相関、およびアトリビューションを提供し、攻撃者がこれらのシステム間を移動するときに検出および追跡するのに役立ちます。