ビデオ: my history up until being nys emt 1998,(preceded by my run through of emergency room today) (十一月 2024)
来年は、パブリッククラウドサービスプロバイダーとSoftware-as-a-Service(SaaS)ソリューションベンダーの大幅な成長を約束します。 たとえば、マイクロサービスの展開やブロックチェーンなどの新しい基盤レベルのテクノロジーは、革新のための未開拓の道を提供しています。 しかし、おそらくさらに重要なことは、CIOが引用したクラウド採用ブロッカー(つまり、セキュリティとデータの安全性)の1つが、特に企業や中規模企業にとって最終的にバックグラウンドに移行しているように見えることです。
アナリストは、企業や中規模セグメントを含む今日のほとんどの企業がさまざまな程度のクラウド展開を行っていることに同意しますが、大規模な組織ではクラウドへの主要なワークロードの移動が遅いことに同意していますが、主な理由はクラウドのセキュリティとデータです安全性。 これらの顧客にとって重要なのは、これらの組織が移行する大量のデータだけでなく、医療保険の携行性と責任に関する法律(HIPAA)やISO 27001などの厳格なコンプライアンスと規制チェックに合格することも重要だからです。ビジネスをするために。 これらのCIOにとってセキュリティは最重要事項であり、最近まで、大規模な方法でクラウドを採用するほど堅牢ではありませんでした。
しかし、2017年のアナリストの予測によると、それはすべて変化しようとしています。 クラウドセキュリティは過去10年間で非常に長い道のりを歩んできましたが、多くのITプロフェッショナルとCIOが同意しているようです。 これは、アナリストが、2017年にエンタープライズセクターからクラウドインフラストラクチャとサービスをより多く取り上げると予測していることを意味します。
有名なマネージドクラウドプロバイダーであるRackspaceの最高セキュリティ責任者であるブライアンケリーとのインタビューをメールで行い、来年のクラウドセキュリティの変化について調べ、アナリストの予測に同意したかどうかを確認しました。
PCMag:データの安全性とセキュリティに関して、Rackspaceは顧客のITスタッフの役割に対して、その役割を正確にどのように見ていますか?
ブライアンケリー(BK):クラウドから逃げるのではなく、セキュリティのために顧客がクラウドに来ているという直接的な証拠を見ています。 わずかな例外を除き、企業には、より洗練された持続的な脅威から組織を効果的に保護するためのリソースとスキルがありません。 同様に、クラウドプロバイダーは、当社のビジネスの将来は、効果的なセキュリティプラクティスを通じて信頼と信頼を提供することに依存していることを認識しています。 クラウドプロバイダーによるセキュリティへの投資の増加にもかかわらず、組織の資産を保護することは常に共有責任です。 クラウドプロバイダーは施設、データセンター、ネットワーク、および仮想インフラストラクチャの保護に直接責任を負いますが、消費者にはオペレーティングシステム、アプリケーション、データ、アクセス、および資格情報を保護する責任もあります。
Forresterは、この共有責任に関連して「不均等なハンドシェイク」という用語を作り出しました。 いくつかの点で、消費者は自分のデータのセキュリティに対する負担を背負っていると考えています。 これは数年前に真実だったかもしれません。 ただし、ハンドシェイクのバランスがとれています。 つまり、クラウドプロバイダーは、消費者がセキュリティに対する責任を共有するために、より多くのことを行うことができます。 これは、ホストされたワークロードの可視性と透明性を高めるだけでなく、コントロールプレーンへのアクセスを提供したり、マネージドセキュリティサービスを提供したりするという形をとることができます。 消費者のセキュリティ責任はなくなることはありませんが、クラウドプロバイダーは引き続き責任を負い、クラウドで安全に運用するために必要な信頼を構築するために、付加価値のあるマネージドセキュリティサービスを提供し続けます。
PCMag:クラウドベースのデータ自体を保護するためにプロバイダーが提供するものに加えて、ITプロフェッショナルや企業顧客にできることについてアドバイスはありますか?
BK:彼らは飛び地の中でセキュリティのベストプラクティスを実装し続けなければなりません。 エンクレーブ内のワークロードを責任を持ってセグメント化し、侵害の範囲を制限し、ワークロード環境(オペレーティングシステム、コンテナ、仮想LAN)を適切に保護およびパッチ適用し、エンドポイントおよびネットワークレベルのセンシングおよびレスポンステクノロジー(IDS / IPS、マルウェアの検出と封じ込め)、アカウントとアクセスの積極的な管理。 多くの場合、顧客はこれらのサービスとテクノロジーをクラウド使用契約に含めることができますが、そうでない場合、消費者はそれが自分の側で起こることを確認する必要があります。
PCMag:読者が尋ねる重要な質問の1つは、中国のIoTベンダーが不注意に大きく貢献したこの10月の事件に似た、大規模なモノのインターネット(IoT)による分散型サービス拒否(DDoS)攻撃に対する効果的な防御についてです攻撃。 このような攻撃は、上流のインターネットサービスプロバイダー(ISP)で機能しますか? そして、あるクライアントへの攻撃が施設内の全員を倒すのをどのように防ぐのでしょうか?
BK: DDoS防御の主な目標は、攻撃を受けたときに可用性を維持することです。 IoTのDDoS攻撃機能はよく知られており、セキュリティのベストプラクティスを実装し、インテリジェントなDDoS軽減システムを使用することにより、正常に軽減できます。 最大の脅威は、IoTからの攻撃の方法ではなく、膨大な数の脆弱なインターネット対応デバイスです。 インターネット上の脅威への露出を制限するには、ネットワークをロックダウンする必要があります。 ネットワークオペレータは、すべてのネットワークトラフィックを分析および分類する機能を維持しながら、考えられるすべての脅威を検出し、それらを軽減する最も効果的な手法を知る必要があります。
強力なDDoS緩和戦略には、階層化された防御的なアプローチが必要です。 膨大な数のIoTデバイスにより、小規模ネットワークではIoT攻撃の緩和が困難になります。 IoT攻撃の効果は、さまざまな攻撃ベクトルを生成し、大規模で大容量のDDoSトラフィックを生成する柔軟性です。 最も堅牢なネットワークでさえ、IoTが有能な攻撃者の手で生成できる膨大な量のトラフィックにすぐに圧倒される可能性があります。 多くの場合、アップストリームISPは、小規模なネットワークリンクを急速に飽和させるような大規模な攻撃に対処するための設備とスタッフを備えています。 さらに、ネットワークの運用規模とそのような攻撃を緩和するために必要なツールにより、効果的な検出と応答がほとんどの組織の手の届かないところに置かれています。 より優れたソリューションは、このような規模のネットワークで既に作業しているクラウドプロバイダーのアップストリームISPにそのようなオペレーションをアウトソーシングすることです。
アップストリームISPには、トラフィックをシフトできるインターネットアクセスポイントの堅牢な多様性を通じて多くの利点があります。 また、一般的に、最初に多くのDDoSトラフィックを吸収するのに十分な大きさのデータパイプがあり、再ルーティングトラフィックの応答アクティビティがスピンアップしています。 「上流」は、川沿いの一連のダムにいくぶん類似しているため、良い用語です。 洪水時には、各ダムを使用して下流の家を保護し、ダムによって作成された各湖の水を徐々に増やして、流れを測定して下流の洪水を防ぎます。 アップストリームISPの帯域幅とアクセスポイントの多様性は、同じ種類の復元力を提供します。 また、インターネットコミュニティ全体でネゴシエートされたプロトコルを使用して、DDoSトラフィックをアクティブ化できるソースに近づけます。
他のインシデント対応活動と同様に、計画、準備、および実践が不可欠です。 2つの攻撃がまったく同じというわけではないため、オプションと状況を予測し、それらの計画と実践が重要です。 IoT攻撃シナリオの場合、ネットワークの脆弱なデバイスのスキャンと修正アクションの実行が含まれます。 また、脆弱なIoTデバイスのネットワーク外部からのスキャンを禁止する必要があります。 支援するために、厳密なアクセス制御とオペレーティングシステムの強化を実装し、異なるコードバージョン、ネットワークデバイス、およびアプリケーションにパッチを適用する手順を開発します。
完全なインフォグラフィックの画像をクリックします。 画像クレジット: Twistlock
PCMag:読者が私たちに尋ねる別の質問は、コンテナのセキュリティについてです。 複雑な攻撃システムを含む可能性のある兵器化されたコンテナについて心配しますか、またはそのようなエクスプロイトからアーキテクチャが保護されると思いますか?
BK:新たに強調されたテクノロジーを使用したセキュリティは常に懸念事項です。コンテナはこの点でユニークではありません。 しかし、多くのセキュリティ上の課題と同様に、トレードオフがあります。 リスクは増加する可能性がありますが、制御可能なリスクに対する効果的な緩和戦略もあると考えています。
コンテナは、本質的に、非常に一時的で軽量な仮想化されたオペレーティングシステム環境です。 仮想マシンは、個別の物理サーバーよりも安全性が低いですか? 彼らは、ほとんどの場合です。 ただし、多くの企業は仮想化によるコストのメリット(支出の削減、管理の容易さ、マシンの簡単な再利用)を認識しており、できるだけ多くのリスクを軽減しながらそれらを活用することを選択しています。 インテルは、リスクの一部を軽減するのに役立つ可能性があることさえ認識しており、それがインテルVTの由来です。
コンテナは、仮想化の初期コスト削減と柔軟性をさらに高めます。 また、各コンテナとホストオペレーティングシステムの間 に非常に 薄い壁があるため、リスクも高くなります。 私は分離のためのハードウェアのサポートを知らないので、すべての人を整列させるのはカーネル次第です。 企業は、この新しいテクノロジーのコストと柔軟性の利点とこれらのリスクを比較検討する必要があります。
Linuxの専門家は、各コンテナがホストのカーネルを共有しているため、エクスプロイトの対象領域がKVMやXenなどの従来の仮想化テクノロジーよりもはるかに大きいため、懸念しています。 そのため、攻撃者が1つのコンテナの特権をハッキングして、別のコンテナにアクセスする(または、そのコンテナ内の条件に影響を与える)新しい攻撃の可能性があります。
コンテナ固有のセキュリティセンサーについては、まだ多くはありません。 私の意見では、市場のその領域は成熟していなければなりません。 さらに、コンテナーは、特権レベルに応じて異なるリングでコードを実行できるようにするCPU(Intel VTなど)に組み込まれたセキュリティ機能を使用できません。
最終的には、物理サーバー、仮想マシン、およびコンテナに対する多数のエクスプロイトがあります。 常に新しいものが現れます。 エアギャップのマシンでさえも悪用されます。 ITプロフェッショナルは、これらのすべてのレベルでのセキュリティ侵害について心配する必要があります。 防御の多くは、これらすべての展開タイプで同じですが、それぞれに適用する必要がある独自の追加のセキュリティ防御があります。
ホスティングプロバイダーは、Linuxセキュリティモジュール(SELinuxやAppArmorなど)を使用してコンテナーを分離する必要があり、そのシステムは厳密に監視する必要があります。 また、ローカル権限昇格のエクスプロイトを回避するために、ホストカーネルを最新の状態に保つことも重要です。 一意のID(UID)の分離も、コンテナ内のルートユーザーが実際にホスト上でルートにならないようにするので役立ちます。
PCMag: PCMag.comがマネージドセキュリティサービスプロバイダー(MSSP)の大規模な比較を行っていない理由の1つは、その用語が意味するものとそのクラスのプロバイダーが提供できるものおよび提供すべきものについて業界で混乱があるためです。 Rackspaceのマネージドセキュリティサービスを分解できますか? それが何をするのか、それが他のプロバイダーとどのように異なるのか、そして読者がそのようなサービスを採用するときに彼らが何にサインアップしているかの良いアイデアを得ることができるようにあなたはそれを見ていますか?
BK: MSSPは、セキュリティが機能していないことを受け入れ、より洗練された永続的な敵が含まれる今日の脅威の状況でより効果的になるように戦略と運用を調整する必要があります。 Rackspaceでは、この脅威の変化を認識し、それらを緩和するために必要な新しい機能を開発しました。 Rackspace Managed Securityは、24時間365日の高度な検出および応答操作です。 企業を攻撃から保護するだけでなく、環境が正常にハッキングされた後でも、攻撃が発生した場合のビジネスへの影響を最小限に抑えるように設計されています。
これを達成するために、3つの方法で戦略を調整しました。
境界線ではなく、データに注目します。 攻撃に効果的に対応するための目標は、ビジネスへの影響を最小限にすることです。 これには、会社のビジネスと、保護しているデータとシステムのコンテキストを包括的に理解することが必要です。 そうして初めて、通常の状態を理解し、攻撃を理解し、ビジネスへの影響を最小限に抑える方法で対応できます。
攻撃者がネットワークに侵入し、高度なスキルを備えたアナリストを使用して攻撃者を追い詰めたと想定しています。 セキュリティツールにとって、高度な攻撃者は通常のビジネス機能を実行する管理者のように見えるため、ネットワーク上で攻撃を特定するのは困難です。 弊社のアナリストは、ツールが警告できないアクティビティのパターンを積極的に検索します。これらのパターンは、攻撃者につながる足跡です。
あなたが攻撃を受けていることを知るだけでは十分ではありません。 攻撃が発生したときに対応することが重要です。 カスタマーセキュリティオペレーションセンターでは、「事前承認済みのアクション」のポートフォリオを使用して、攻撃に気づいたらすぐに対応します。 これらは基本的に、攻撃が発生した場合に攻撃に対処するために試行およびテストを行った書籍です。 顧客はこれらのランブックを見て、アナリストがオンボーディングプロセス中に実行することを承認します。 その結果、アナリストは受動的なオブザーバーではなくなりました。攻撃者が検出されるとすぐに、多くの場合、永続性が達成される前およびビジネスが影響を受ける前に、攻撃者を積極的にシャットダウンできます。 攻撃に対応するこの機能はRackspace独自のものです。これは、お客様のために保護しているインフラストラクチャも管理しているためです。
さらに、コンプライアンスはセキュリティの副産物であることがわかりました。 私たちは、お客様が満たすのに役立つコンプライアンス要件を実証および報告することにより、セキュリティ運用の一環として実装する厳格さとベストプラクティスを活用するチームを持っています。
PCMag: RackspaceはOpenStackの大きな支持者であり、確かに信用された創設者です。 IT読者の何人かは、このようなオープンプラットフォームのセキュリティ開発は、「コックが多すぎる」というジレンマに悩まされているため、Amazon Web Services(AWS)やMicrosoft Azureなどのクローズドシステムよりも実際に遅く、効果が低いかどうかを尋ねています多くの大規模なオープンソースプロジェクト。 どのように対応しますか?
BK:オープンソースソフトウェアでは、「バグ」はオープンコミュニティで見つかり、オープンコミュニティで修正されます。 セキュリティの問題の範囲や影響を隠す方法はありません。 プロプライエタリなソフトウェアを使用すると、脆弱性を修正するためにソフトウェアプロバイダーの容赦があります。 6か月間、脆弱性について何もしなかった場合はどうなりますか? 研究者からのレポートを見逃した場合はどうなりますか? 私たちは、あなたが「巨大なソフトウェアセキュリティイネーブラ」と呼ぶ「あまりにも多くの料理人」をすべて見ています。 何百人ものスマートエンジニアがOpenStackのような主要なオープンソースパッケージの各部分をよく見ているため、欠陥がひび割れをすり抜けるのは非常に困難です。 欠陥の議論とそれを修復するためのオプションの評価は公開されています。 プライベートソフトウェアパッケージは、このようなコードレベルごとの分析を受け取ることはできず、修正プログラムがこのようなオープンな検査を受けることはありません。
オープンソースソフトウェアは、ソフトウェアスタック外の緩和も可能にします。 たとえば、OpenStackのセキュリティ問題が表示されても、クラウドプロバイダーが脆弱性をすぐにアップグレードまたは修正できない場合、他の変更が行われる可能性があります。 この機能は一時的に無効になるか、ユーザーがポリシーファイルを介して使用できなくなる可能性があります。 長期的な修正が適用されるまで、攻撃を効果的に軽減できます。 クローズドソースのソフトウェアでは、何を緩和する必要があるかを判断するのが難しいため、多くの場合、それを許可していません。
また、オープンソースコミュニティは、これらのセキュリティ脆弱性に関する知識を迅速に広めています。 「これが後で起こるのをどうやって防ぐのか」という質問。 すぐに尋ねられ、審議は共同でオープンに行われます。
PCMag:このインタビューの元の質問で締めくくりましょう。2017年は、主にまたは少なくとも部分的にクラウドプロバイダーのセキュリティを受け入れたことにより、エンタープライズクラウドの採用に関して「ブレイクアウト」年になるというアナリストに同意しますか?
BK:少し戻って、さまざまなクラウド環境について議論しましょう。 あなたの質問のほとんどは、パブリッククラウド市場を指しています。 上記で述べたように、Forresterの研究者は、クラウドプロバイダーが一連のサービスを提供するという点で、クラウドプロバイダーと消費者の間の「不均等なハンドシェイク」に注目していますが、クラウド消費者は、セキュリティ、バックアップ、復元力、など。私はRackspaceに参加して以来、クラウドプロバイダーが消費者に対してより透明になり、そのハンドシェイクを均等にする必要があることを主張しました。 パブリッククラウド環境ほど、今日でもハンドシェイクは劣っていません。
ただし、プライベートクラウド環境、特に消費者独自の環境で実装された環境は、このような幻想にそれほど苦しむことはありません。 消費者は、自分が何を買っているのか、プロバイダーが何を与えているのかについて、より明確です。 それでも、消費者が購入プロセスに期待を寄せ、クラウドプロバイダーがゲームを強化してより完全なサービスと透明性を提供するにつれて、従来のデータセンターからパブリッククラウド環境にワークロードを移動する際の感情的およびリスク関連の障壁が急速に低下しています。
しかし、2017年にこれがクラウドへの踏み台になるとは思わない。 データセンターのハードウェアのアップグレードとは大きく異なります。 Netflixの移行を検討することを読者に奨励します。 クラウドに移行することでビジネスを変革しましたが、7年間のハードワークが必要でした。 1つは、ほとんどのアプリをリファクタリングして書き直し、より効率的でクラウドへの適合性を高めることです。
また、多くの消費者が、出発点としてハイブリッドクラウドアーキテクチャを使用して、データセンターでプライベートクラウドを採用しています。 これらは加速しているようです。 採用曲線は2017年に上昇する可能性がありますが、うねりが実際に構築されるには数年かかると思います。
