クラウドベースのサービスとしてのソフトウェア(SaaS)アプリケーションまたはクラウド内の独自のアプリケーションのセキュリティを管理することは、サイバーセキュリティチームにさまざまな、より複雑な要求を課しています。 サイバーセキュリティスキルは依然として不足していますが、特に中小規模の組織では、クラウドとオンプレミスの両方のセキュリティスキルを持つ人々の可用性はさらに制限されています。
Microsoft 365、Google Workspace、Salesforce、Slack、Box、Zoomなどの人気のあるSaaSアプリケーションの台頭に伴い、ITチームは、使用する各SaaSプロバイダーでどのセキュリティコンポーネントを担当しているかを理解する必要があります。 エンタープライズリソースプランニング、HR、およびその他のアプリケーションをアマゾンウェブサービス、Microsoft Azure、およびGoogleCloudPlatformによって提供されるクラウドインフラストラクチャに移動する場合も同様です。
何でこれが大切ですか? クラウド環境は、SaaSであろうとなかろうと、攻撃対象領域全体の一部になり、クラウドリソースの構成ミスは、依然としてデータ漏洩の主な原因であるためです。
責任の共有の紹介
SaaSプロバイダーとインフラストラクチャプロバイダーの両方のクラウドプロバイダーは、セキュリティの面で彼らが何に責任があるかを非常に明確にしています。 による インターネットセキュリティセンター、SaaSプロバイダーは、物理的セキュリティ、ホストインフラストラクチャのセキュリティ、およびネットワーク制御に単独で責任を負います。 ただし、アプリケーションレベルの制御、IDとアクセスの管理、およびエンドポイントの保護については、プロバイダーと顧客がセキュリティの責任を共有します。 そこで混乱が生じ、クラウドセキュリティの専門知識が必要になります。
たとえば、ミッションクリティカルなMicrosoft365SaaSアプリケーションを保護することを検討してください。 Microsoft
その責任がどこにあるかを公開しています。 ユーザーとデバイスのアクセスを構成するのは、お客様の責任です。 ユーザー、アプリケーション、およびデータの動作を監視します。 インシデントに対応します。 これには、パブリッククラウド内のデータまたはアプリにアクセスするパートナーのアクションが含まれます。
さらに、クラウドであろうとオンプレミスであろうと、電子メールユーザーは依然として人的エラーによるリスクの主要な原因です。 PC、ラップトップ、モバイルデバイスから、悪意のあるリンクをクリックしたり、添付ファイルを開いてそのエンドポイントにマルウェアを導入したりする可能性があります。
これは、次に起こることの変化が見られる場所です。 ハッカーがエンドポイントに侵入すると、ネットワーク上で横方向にピボットしてオンプレミスのリソースに侵入することに満足しなくなります。 代わりに、エンドポイントを介してクラウドに移動し、データにアクセスします。
クラウドでのワークロードの保護
COVID-19は、従来のオンプレミスアプリケーションとワークロードのクラウドInfrastructure-as-a-Service(IaaS)への移行を加速しました。この場合、ストレージやデータベースなどのクラウドリソースの構成はさらに複雑になる可能性があります。
たとえば、ヘルスケアのお客様の19人は、主に自社のHIPAA準拠のデータセンターでオンプレミスを運用していました。 COVID-XNUMXにより、同社は開業医の職場環境をPCやラップトップから在宅患者ケアに使用できるタブレットに迅速に移行する必要がありました。 これは、データをクラウドに移動して、どこからでもアクセスできるようにすることも意味していました。 クラウドインフラストラクチャとストレージの構成には、社内にないスキルが必要であり、潜在的なサイバーセキュリティとコンプライアンスのギャップが生じることがすぐにわかりました。
この例の共有責任モデルの違いは何ですか? IaaSを使用してクラウドサーバーでアプリケーションを実行し、データをクラウドストレージに配置する企業の場合、クラウドプロバイダーは、物理ホスト、ネットワーク、およびデータセンターのセキュリティに対してのみ完全に責任を負います。 他のすべてはあなたの責任です。 これには、アプリケーションレベルの制御、IDとアクセスの管理、クライアントとエンドポイントの保護、およびデータの分類と説明責任が含まれます。 Windows AzureなどのPaaS(Platform-as-a-Service)サービスの責任は、IaaSとSaaSの中間にあります。
クラウドセキュリティスキルを習得するためのオプション
主なポイントは、Microsoft 365を使用している場合でも、Windows AzureでWindowsアプリケーションを実行している場合でも、エンタープライズデータをクラウドデータレイクに複製している場合でも、ベアメタルサーバーでカスタムエンタープライズアプリケーションを実行している場合でも、データのセキュリティに責任があるということです。 さらに、クラウドのセキュリティ違反は、残りのオンプレミスリソースを危険にさらす可能性があります。
クラウド製品は新しいものではありませんが、クラウドコンピューティング、特にクラウドセキュリティに関する専門知識を得るのは困難です。 業界のレポートによると、クラウドセキュリティスキルの需要は、アプリケーションセキュリティの専門知識の需要に次ぐものです。 中小規模の組織を含むあらゆる規模の企業は、ワークロードとデータをオンプレミスのリソースから移動するときにクラウドセキュリティを無視する余裕はありません。
クラウドセキュリティのスキルが不足している場合でも、企業は既存の社内スタッフをトレーニングすることで独自のスキルを伸ばすことができます。 あるいは、今日の非常に競争の激しい給与および採用環境で、クラウドの専門家を雇うことに直面しています。 在宅勤務の手配を提供することで、企業はどこからでもリーチと雇用を拡大でき、必要な熟練労働者を簡単に獲得できます。
アプローチが何であれ、クラウドセキュリティの姿勢とクラウドサイバーセキュリティスキルのギャップを評価します。 あなたのデータセキュリティはそれに依存しています。
ソース:https://www.darkreading.com/cloud/cloud-adoption-widens-the-cybersecurity-skills-gap
