クラウドストレージのセキュリティに関するベストプラクティス
by Canonical on 20 March 2024
Cephのセキュリティ機能でデータを保護
クラウドストレージシステムにデータを安全に保存するには
データはあらゆる組織にとって貴重な資産であり、紛失や漏洩は大惨事になりかねません。システム障害を防げなければ、業務データを失い、営業不能に陥って経営破綻に至る可能性もあります。機密データが漏洩すれば、企業は評判を落とすだけでなく巨額の罰金を科されます。
今回のブログ記事では、こうしたリスクに注目するとともにCephのセキュリティ機能でリスクを軽減する方法を説明します。まず、最も一般的なデータ侵害の例を挙げましょう。
物理的な盗難/輸送
ストレージ関連のハードウェア、ディスク、またはストレージシステム全体が失われると、機密情報が漏洩する可能性があります。たとえば従来の盗難です。権限のない者がデータセンターに侵入してハードウェアを持ち去ったり、修理や交換のためにメーカーに輸送する途中でハードウェアが盗まれたりする場合です。
もうひとつの物理的侵害はバックアップテープの盗難です。このリスクは、暗号化やテープレスバックアップ(伝送時や保存時に暗号化を使用)によって容易に軽減できます。
破損/ビットロット
ストレージシステムはハードウェアで構成され、時にはハードウェアコンポーネントが完全に故障します。まれには、ディスクドライブなどのコンポーネントがビットレベルのエラーを持ち込み、保存されたデータが破損する場合もあります。
最新のシステムのほとんどは、保存されたデータのスライスまたはチャンクに対するチェックサムも保存するため、破損があればデータの読み取り時に検出されます。Cephなどの一部のシステムでは、保存データを事前にスクラブします。これにより、潜在的な破損があれば検出され、他の複製データから修復されるか、消去コードチャンクから再構築されます。
ネットワーク盗聴
ローカルネットワークまたはインターネット上のシステム間でデータがコピーされる際、盗聴される、つまり、伝送中のデータが不正に傍受されることがあります。ネットワーク上の経路には、ネットワークインターフェースコントローラー(NIC)、スイッチ、ルーター、ケーブルなど、数多くのコンポーネントがあり、いずれも侵害される可能性があります。このような侵害は、最先端のテクノロジーを使用しても検出が困難または不可能です。
セキュアでないストレージシステムソフトウェア
ソフトウェアサプライチェーン攻撃によってストレージシステム内で実行中のソフトウェアが侵害され、別の経路から悪意あるコードが挿入されることがあります。は中核的なストレージソフトウェアだけでなく、ディスク、NIC、RAIDコントローラーなどすべてのコンポーネントが標的になるため、ソフトウェアコンポーネントすべてを最新の状態に保つことが不可欠です。
悪意のある難読化と暗号化
ランサムウェア攻撃はますます増加しています。ランサムウェア攻撃では、悪意のある者が組織のIT資産にアクセスし、すべてのストレージデバイス(サーバー内のローカルドライブだけでなく、ネットワークストレージも含む)のコンテンツを暗号化します。
クラウドストレージのセキュリティ機能でリスクを軽減
Cephなどの最新のオープンソースストレージシステムには、上記のリスクを防ぐ複数の対策があります。
保存データの暗号化
データはディスクに書き込まれる際にストレージシステムによって暗号化されます。そのため、ディスクの盗難や紛失、または故障後に交換のためにメーカーに返送する際に、デバイスに保存されているデータが漏洩する可能性はありません。
伝送データの暗号化
すべてのネットワークにおいてあらゆるデータフローを暗号化すれば、機密データの傍受は不可能になります。ストレージシステムは、データを暗号化された形式のまま保存するか、または再暗号化し、保存データの暗号化によって安全に保存します。
アクセス制御
CephではCephXとLDAPを利用して、すべてのプロトコルで厳密なアクセス制御を実施します。許可されたユーザーのみが、管理者がマッピングまたは特定のユーザーと共有したブロックデバイス、ファイル共有、オブジェクトバケットにアクセスできます。
スナップショットとバージョン管理
ポイントインタイムスナップショットでは、破損や悪意のある暗号化が検出されたときに既知の正常な状態へロールバックできるため、復旧の経路が確保されます。オブジェクトストレージでは、オブジェクトの完全なバージョン管理も可能です。既存オブジェクトの新しいバージョンがシステムに追加されるときは旧いバージョンも保持され、必要に応じてアクセスできます。この機能は、監査証跡が求められる規制の厳しい環境で特に有用です。
キーのローテーション
暗号キーは異なるデバイス間で通信を保護するために使用されますが、キーは定期的に更新することが重要です。そうすれば、暗号キーが侵害された場合でも、その使用と侵入が可能な時間枠を比較的短くすることができます。
詳細情報
Cephは、使用されるプロトコルにかかわらず、クラスター内に保存されたデータを保護する複数のメカニズムを提供します。さらに、ハードウェアコンポーネントがクラスターから削除された場合でも、データ保護は強力な暗号化により維持されます。RADOSゲートウェイのS3エンドポイントなどのインターネット対応APIは、TLS接続のみを受け入れ、セキュアでないHTTPを拒否するように設定できます。
Cephの詳細は、こちらをご覧ください。
その他のリソース
ニュースレターのサインアップ
関連記事
公共セクターにおけるクラウドストレージのコスト
他の多くの業界と同様、公共セクターでもクラウドコンピューティングの柔軟性が注目されています。最近の問題は予測不能なコストの上昇ですが、この大部分は慎重な計画とオンプレミスのインフラストラクチャによって軽減できます。 政府の指針では、全アプリケーションをクラウドに移行するという一律的な方法ではなく、それぞれの問題に最も適切な解決策を選ぶという戦略への切り替えが推奨されています。 このブログ記事では、公共セクターの組織が直面するいくつかの課題、そしてコスト効果、拡張性、コンプライアンスを確保する方法を検討します。 クラウドストレージ クラウドコンピューティングは、ここ20年間で世界を席巻しました。拡張性、柔軟性、オンデマンドというパブリッククラウドの特性は無敵です。しかしその […]
常時接続フリートにおけるOTAとテレメトリの管理
私のブログ記事を過去2年間読んでくださっている方は、自動車業界がおそらく今日の最も革新的な業界であることをご存知でしょう。実際、世界でも極めて価値の高い企業が、電気自動車(EV)、自動運転(AD)、人工知能(AI)に携わっています。他の革新と同様、この革新にも一連の課題が伴います。 私は、理解や習得が最も難しいテクノロジーが、必ずしも最も複雑に見えるテクノロジーとは限らないことに気づきました。OTA(Over-The-Air)更新とフリートのテレメトリの管理は、今日の自動車業界において最も有望なテクノロジーですが、複雑に見えるテクノロジーでもあります。 OTAの隠れた力 OTA更新は、車両の価値を根本的に覆す可能性を持っています。リモートでのソフトウェアとファームウェアの […]
Ubuntu ProによりリアルタイムUbuntuをAmazon EKS Anywhereのお客様が利用可能に
Canonicalは、今年前半にバルセロナで開催されたMobile World Congress(MWC)2024で、リアルタイムUbuntuがAmazon Elastic Kubernetes Services Anywhere(EKS Anywhere)で利用可能になったことを発表しました。超低レイテンシのデータ処理をサポートする信頼性の高いリアルタイムUbuntuにより、通信事業者はAmazon EKS Anywhere上で自社のOpen Radio Access Network(RAN)ソフトウェアワークロードを実行できます。 この開発は、Amazon EKS AnywhereをOpen RANワークロード用に理想的なプラットフォームにするための、パートナー企業間 […]
