クラウドセキュリティ
IaaS(Infrastructure as a Service)
別称: クラウドインフラ
定義
クラウド事業者が仮想化された計算・ストレージ・ネットワークを提供し、OS・ミドルウェア・アプリケーションは顧客が管理するクラウドサービスモデル。
IaaS の代表例は AWS EC2、Azure Virtual Machines、Google Compute Engine で、物理ハードウェアを保有することなく従量課金で弾力的なインフラを利用できます。セキュリティ責任の観点では、事業者はデータセンター・ハイパーバイザー・ストレージハードウェアを担い、顧客はハイパーバイザーより上のすべて(ゲスト OS のパッチ、IAM、ネットワーク ACL とセキュリティグループ、暗号化、ログ、アプリケーションセキュリティ)を担当します。代表的なリスクには、公開された管理ポート、未適用の OS パッチ、過剰に開かれた VPC ルート、公開ストレージボリューム、放置された資格情報などがあります。ハードニングは KMS、IAM、GuardDuty、Defender for Cloud などのネイティブ機能と、サードパーティの CSPM/CWPP を組み合わせて行います。
例
- 古い Linux カーネルを使い、ポート 22 を 0.0.0.0/0 に公開している EC2 インスタンス。
- 仮想マシンへの公開 RDP アクセスを Azure Bastion に置き換える。
関連用語
PaaS(Platform as a Service)
ランタイム・ミドルウェア・OS・インフラを事業者が管理し、顧客はアプリケーションコードとデータに集中するクラウドモデル。
SaaS(Software as a Service)
ベンダーがアプリケーションを運用し、顧客がサブスクリプション形式でインターネット経由で利用するクラウド提供モデル。
Function as a Service (FaaS)
Function as a Service (FaaS) — definition coming soon.
責任共有モデル
クラウド事業者(クラウドそのもののセキュリティ)と顧客(クラウド上のセキュリティ)で責務を分担する、クラウドセキュリティの基本枠組み。
クラウドセキュリティ
パブリック・プライベート・ハイブリッドクラウド環境に置かれたデータ・アプリケーション・インフラを保護するための、ポリシー・統制・技術の総体。
CSPM(クラウドセキュリティポスチャー管理)
クラウドアカウントをベストプラクティスやコンプライアンス基準に対し継続的に評価し、構成ミスを検出・是正するためのツールカテゴリ。