クラウドコンピューティングセキュリティ

Securityクラウドコンピューティングの大きな関心事です。クラウド内のデータは暗号化された形式で保存する必要があります。クライアントが共有データに直接アクセスすることを制限するには、プロキシおよび仲介サービスを使用する必要があります。

セキュリティ計画

特定のリソースをクラウドにデプロイする前に、次のようなリソースのいくつかの側面を分析する必要があります。

• クラウドに移行する必要のあるリソースを選択し、リスクに対する感度を分析します。

• 次のようなクラウドサービスモデルを検討してください IaaS, PaaS, そして SaaS. これらのモデルでは、お客様がさまざまなレベルのサービスでセキュリティに責任を持つ必要があります。

• 次のような使用するクラウドタイプを検討してください。 public, private, community または hybrid.

• データストレージとそのクラウドへの転送およびクラウドからの転送について、クラウドサービスプロバイダーのシステムを理解します。

クラウド展開のリスクは、主にサービスモデルとクラウドタイプに依存します。

クラウドのセキュリティを理解する

セキュリティ境界

特定のサービスモデルは、サービスプロバイダーと顧客の責任の間の境界を定義します。 Cloud Security Alliance (CSA) スタックモデルは、各サービスモデル間の境界を定義し、さまざまな機能ユニットが互いにどのように関連しているかを示します。次の図は、CSA stack model:

CSAモデルの要点

• IaaSは最も基本的なサービスレベルであり、PaaSとSaaSは次の2つのレベルのサービスです。

• 上に移動すると、各サービスは、下のモデルの機能とセキュリティの懸念を継承します。

• IaaSはインフラストラクチャを提供し、PaaSはプラットフォーム開発環境を提供し、SaaSはオペレーティング環境を提供します。

• IaaSの統合機能と統合セキュリティのレベルは最も低く、SaaSのレベルは最も高くなっています。

• このモデルは、クラウドサービスプロバイダーの責任が終了し、顧客の責任が開始するセキュリティ境界を記述します。

• セキュリティ境界より下のセキュリティメカニズムはすべてシステムに組み込まれている必要があり、お客様が保守する必要があります。

各サービスモデルにはセキュリティメカニズムがありますが、セキュリティのニーズは、プライベート、パブリック、ハイブリッド、またはコミュニティクラウドのどこにこれらのサービスが配置されているかによっても異なります。

データセキュリティを理解する

すべてのデータはインターネットを使用して転送されるため、データのセキュリティはクラウドで大きな懸念事項です。データを保護するための主要なメカニズムは次のとおりです。

• アクセス制御
• Auditing
• Authentication
• Authorization

すべてのサービスモデルには、上記のすべての領域で動作するセキュリティメカニズムを組み込む必要があります。

データへの分離されたアクセス

クラウドに保存されているデータにはどこからでもアクセスできるため、データを分離してクライアントの直接アクセスから保護するメカニズムが必要です。

Brokered Cloud Storage Access は、クラウド内のストレージを分離するためのアプローチです。このアプローチでは、2つのサービスが作成されます。

• ストレージへのフルアクセスはあるが、クライアントへのアクセスはないブローカー。

• ストレージにはアクセスできないが、クライアントとブローカーの両方にアクセスできるプロキシ。

仲介されたクラウドストレージアクセスシステムの動作

クライアントがデータへのアクセス要求を発行した場合：

• クライアントデータ要求は、プロキシの外部サービスインターフェイスに送信されます。

• プロキシはリクエストをブローカーに転送します。

• ブローカーはクラウドストレージシステムにデータを要求します。

• クラウドストレージシステムは、データをブローカーに返します。

• ブローカーはデータをプロキシに返します。

• 最後に、プロキシはデータをクライアントに送信します。

上記のすべての手順を次の図に示します。

暗号化

暗号化は、データが危険にさらされるのを防ぐのに役立ちます。転送中のデータとクラウドに保存されているデータを保護します。暗号化は不正アクセスからデータを保護するのに役立ちますが、データの損失を防ぐことはできません。