有名なアメリカのことわざを引用すると、 雲はスライスされたパンから現在までの最高の発明です!
これは、習慣、作業パラダイム、ビジネスプロセスをソフトでありながら容赦のない方法で変更し、大小の企業に受け入れられ、継続性をもたらすと同時に深遠なイノベーションをもたらす歴史的な発明のXNUMXつです。
正確に言えば、これらの最後の特徴はそれを強力にし、しばらくの間、 ハイブリッドクラウド -つまり、従来のオンラインパーツ、プライベートエクスペリエンスで構成され、共有プロバイダーに依存するものであり、しばらくの間存在していたプロセスの改善に基づいて構築されており、その非効率性は、実行方法の大幅な革新に関して知られています。仕事。
ファッショナブルであろうとなかろうと、デジタルトランスフォーメーションの推進だけでは不十分だった場合、最近のパンデミックの状況により、プロセスとアプリケーションをリモートでアクセス可能にし、いつでもどこからでも接続できるようにする必要性がさらに悪化しました。
これはしばしば急いで反応を引き起こし、時には大幅なコスト削減を伴う簡素化として認識され、しばしば「リフトアンドシフト」として定義され、従来の企業データセンターから環境へのサーバーの移動を特徴とします。 アマゾン人、マイクロソフト人またはグーグリシ。
ただし、より構造化されたアプローチを使用するプロジェクトでは、次の原則に従ってアプリケーションプラットフォームをリエンジニアリングすることを前提としています。 Service-as-a-Service (またはPaaS)。
ITと開発の観点から、この最新の効果的なアプローチでサーバーをその基本的なコンポーネント(ストレージ、アクセスリスト、ネットワーク、データベースなど)に断片化する必要がある場合、セキュリティ。、特に責任の共有に関連して。
この概念は、Amazon WebServicesまたはAWSによって文の中で見事に要約されています。 「この責任の区別は、一般にクラウドセキュリティとクラウドセキュリティと呼ばれます」 同様に効果的に次のように示されています。
このスキームは、プラットフォームを活用するためのビジネスプロセスとスキームの意識的な進化について企業を教育するために非常に頻繁に使用されます は、例を挙げて説明しようとする概念の過度の単純化を示しています。
架空の会社ACMERicambi MotoveicoliがXNUMX年前に最初のデジタル変革を完了し、インターネット上に公開され、データセンターに配置されたサーバーシステムを実装して、製品やサービスのオンライン販売を目的としたシステムを作成したとします。
今回のケースでは、ソリューションは成功したものの、インフラストラクチャが必要なため、メンテナンスが非常に複雑で費用がかかることが判明したと仮定します。
そのため、2019年には、サーバーの移動に伴ってプロジェクトが進化しました。 、コスト削減を期待して。
ユーザーの増加を引き起こしたパンデミックのおかげで、サーバーのモノリシック構造のために、リソースをスケーリングする必要性により、サーバーレプリカのコストが運用効率よりも高くなりました(急いで高速ソリューションを選択することになりました...) 。
したがって、2020年の終わりに、ACME Ricambi Motoveicoliは、サーバーの個々のコンポーネントを断片化し、バランスの取れたスケーラブルな方法でそれらをインスタンス化するプロジェクトの完全な改訂を選択しました。 。 基本的には、サーバーを通常定義するもの(たとえば、ストレージまたはディスクスペース、データが保存されているデータベース、公開されているサービスへのアクセスルールなど)を分離するという考え方です。 各フラグメントはで構成されます 個別に、需要の増加に応じて要求を増やすシステムを使用します。 このアプローチは、それを必要とするアプリケーションモザイクのコンポーネントのみを複製し、投資/パフォーマンスの比率を最適化するため、理想的です。
アプリケーションと運用の観点からこれが正しい方法である場合、セキュリティの観点から、これには保護戦略の大幅な変更が必要です。これは、責任の共有が一般的に不透明であるためです。
私が何を意味するのかを理解するために、上のグラフの一部を深めてみましょう。
一見したところ、ストレージとデータベースインスタンスをインスタンス化する場合、すべてを保護する責任はAmazonにあるように思われます。
そして、それは確かにストレージやDBインスタンスの復元力に関してです。
簡略図ではわかりませんが、セキュリティ設定でこれらXNUMXつの要素を詳しく見ると、次のことがわかります。
Amazon S3 Bucketなどのストレージインスタンスの設定は、デフォルトで[Permissions]-[Bucket Policy]-[Principal]のデフォルト値*になります。これにより、誰でも公開された到達可能なストレージにアクセスできます。
Amazon> RDSインスタンス(つまりデータベース)には、削除から保護されていないデフォルトのデータベース構成があります。
環境の妥協 -たとえば、クレデンシャルの盗難の場合-攻撃者は、おそらくデータを転送した後、データベースインスタンスを削除できます。
これらのXNUMXつの例は、PaaSパラダイムのセキュリティの概念全体が、通常はすべての人の手の届かない知識を必要とする方法を示しています。 これは、セキュリティチームのスキルを更新する必要があることを意味します。これは、プロジェクト計画では考慮されないことが多い要素です。 .
おそらく複数のサービスプロバイダーにまたがることができる、特殊な在庫および動的構成分析ソリューションを持つことも望ましいでしょう。 。 このようにして、環境の到達範囲に直接マッピングされた、脆弱な表面の統一された有機的なプレゼンテーションに到達します。 マルチクラウド、前の記事「生データから使用可能な情報へ:可視性と可観測性」で説明した機能。
クラウドセキュリティアライアンス、環境におけるセキュリティの文化的普及のための機関 は、私が読むことをお勧めするXNUMXつの重要な出版物をリリースしました。
危険なXNUMX (The Treacherous Twelve)、すでに2016年に彼はXNUMXの事件をリストしました その原因は、主に構成のベストプラクティスを順守しなかったことです。
ひどいイレブン (Gli Egregi Eleven)、XNUMX年前、彼はXNUMXの重要なインシデントの分析を発表しましたが、その原因は依然としてリソースの構成が間違っているか、許容範囲が広すぎることがよくありました。
Il クラウド これは確かに、ITコスト管理におけるビジネスの俊敏性と規模の経済を向上させる方法です。 ただし、この新しいテクノロジの採用は、セキュリティスキルの更新と、この新しい課題に適した可視性、可観測性、検出、および応答機能の強化を無視することはできません。
深める:
https://www.theinnovationgroup.it/ll-cloud-ibrido-leva-strategica-per-il...
https://aws.amazon.com/it/compliance/shared-responsibility-model/
