Cloud-computing-security
クラウドコンピューティングのセキュリティ
クラウドコンピューティングの*セキュリティ*は大きな懸念事項です。 クラウド内のデータは暗号化された形式で保存する必要があります。 クライアントが共有データに直接アクセスすることを制限するには、プロキシおよび仲介サービスを使用する必要があります。
セキュリティ計画
特定のリソースをクラウドにデプロイする前に、次のようなリソースのいくつかの側面を分析する必要があります。
- クラウドに移行する必要があるリソースを選択し、リスクに対する感度を分析します。
- IaaS、PaaS 、 SaaS などのクラウドサービスモデルを検討してください。これらのモデルでは、さまざまなサービスレベルでセキュリティに責任を持つ必要があります。
- *パブリック、プライベート、コミュニティ*またはハイブリッド*など、使用するクラウドのタイプを検討してください。 *クラウドサービスプロバイダーのシステムについて、データストレージとクラウドへの、およびクラウドからの転送について理解します。
クラウド展開のリスクは、主にサービスモデルとクラウドタイプに依存します。
クラウドのセキュリティについて
セキュリティ境界
特定のサービスモデルは、サービスプロバイダーと顧客の責任の境界を定義します。* Cloud Security Alliance(CSA)スタックモデルは、各サービスモデル間の境界を定義し、異なる機能ユニットが互いにどのように関連するかを示します。 次の図は、 CSAスタックモデルを示しています。*
CSAモデルのキーポイント
- IaaSは最も基本的なレベルのサービスであり、PaaSとSaaSの次の2つのレベルのサービスです。
- 上方に移動すると、各サービスはその下にあるモデルの機能とセキュリティの問題を継承します。
- IaaSはインフラストラクチャを提供し、PaaSはプラットフォーム開発環境を提供し、SaaSはオペレーティング環境を提供します。
- IaaSの統合機能と統合セキュリティのレベルは最も低く、SaaSのレベルは最も高くなっています。
- このモデルは、クラウドサービスプロバイダーの責任が終了し、顧客の責任が始まるセキュリティ境界を記述します。
- セキュリティ境界より下のセキュリティメカニズムはすべてシステムに組み込まれている必要があり、お客様が保守する必要があります。
各サービスモデルにはセキュリティメカニズムがありますが、セキュリティのニーズは、これらのサービスがプライベートクラウド、パブリッククラウド、ハイブリッドクラウド、またはコミュニティクラウドのどこにあるかに依存します。
データセキュリティについて
すべてのデータはインターネットを使用して転送されるため、クラウドではデータのセキュリティが大きな懸念事項です。 以下は、データを保護するための重要なメカニズムです。
- アクセス制御
- 監査
- 認証
- 承認
すべてのサービスモデルには、上記のすべての領域で動作するセキュリティメカニズムを組み込む必要があります。
データへの分離アクセス
クラウドに保存されたデータはどこからでもアクセスできるため、データを分離してクライアントの直接アクセスから保護するメカニズムが必要です。
*Brokered Cloud Storage Access* は、クラウド内のストレージを分離するためのアプローチです。 このアプローチでは、2つのサービスが作成されます。
- ストレージには完全にアクセスできるが、クライアントにはアクセスできないブローカー。
- ストレージにはアクセスできないが、クライアントとブローカーの両方にはアクセスできるプロキシ。
ブローカークラウドストレージアクセスシステムの動作
クライアントがデータにアクセスする要求を発行するとき:
- クライアントデータ要求は、プロキシの外部サービスインターフェイスに送られます。
- プロキシはリクエストをブローカーに転送します。
- ブローカーはクラウドストレージシステムにデータを要求します。
- クラウドストレージシステムはデータをブローカーに返します。
- ブローカーはデータをプロキシに返します。
- 最後に、プロキシはデータをクライアントに送信します。
上記のすべての手順を次の図に示します。
クラウドコンピューティングブローカークラウドストレージアクセス
暗号化
暗号化は、データの侵害を防ぐのに役立ちます。 転送されているデータとクラウドに保存されているデータを保護します。 暗号化は、不正アクセスからデータを保護するのに役立ちますが、データの損失を防ぐことはできません。