クラウドストレージのセキュリティに関するベストプラクティス

by Canonical on 20 March 2024

Cephのセキュリティ機能でデータを保護

写真:FlyDUnsplashより

クラウドストレージシステムにデータを安全に保存するには

データはあらゆる組織にとって貴重な資産であり、紛失や漏洩は大惨事になりかねません。システム障害を防げなければ、業務データを失い、営業不能に陥って経営破綻に至る可能性もあります。機密データが漏洩すれば、企業は評判を落とすだけでなく巨額の罰金を科されます。

今回のブログ記事では、こうしたリスクに注目するとともにCephのセキュリティ機能でリスクを軽減する方法を説明します。まず、最も一般的なデータ侵害の例を挙げましょう。

物理的な盗難/輸送

ストレージ関連のハードウェア、ディスク、またはストレージシステム全体が失われると、機密情報が漏洩する可能性があります。たとえば従来の盗難です。権限のない者がデータセンターに侵入してハードウェアを持ち去ったり、修理や交換のためにメーカーに輸送する途中でハードウェアが盗まれたりする場合です。

もうひとつの物理的侵害はバックアップテープの盗難です。このリスクは、暗号化やテープレスバックアップ(伝送時や保存時に暗号化を使用)によって容易に軽減できます。

破損/ビットロット

ストレージシステムはハードウェアで構成され、時にはハードウェアコンポーネントが完全に故障します。まれには、ディスクドライブなどのコンポーネントがビットレベルのエラーを持ち込み、保存されたデータが破損する場合もあります。

最新のシステムのほとんどは、保存されたデータのスライスまたはチャンクに対するチェックサムも保存するため、破損があればデータの読み取り時に検出されます。Cephなどの一部のシステムでは、保存データを事前にスクラブします。これにより、潜在的な破損があれば検出され、他の複製データから修復されるか、消去コードチャンクから再構築されます。

ネットワーク盗聴

ローカルネットワークまたはインターネット上のシステム間でデータがコピーされる際、盗聴される、つまり、伝送中のデータが不正に傍受されることがあります。ネットワーク上の経路には、ネットワークインターフェースコントローラー(NIC)、スイッチ、ルーター、ケーブルなど、数多くのコンポーネントがあり、いずれも侵害される可能性があります。このような侵害は、最先端のテクノロジーを使用しても検出が困難または不可能です。

セキュアでないストレージシステムソフトウェア

ソフトウェアサプライチェーン攻撃によってストレージシステム内で実行中のソフトウェアが侵害され、別の経路から悪意あるコードが挿入されることがあります。は中核的なストレージソフトウェアだけでなく、ディスク、NIC、RAIDコントローラーなどすべてのコンポーネントが標的になるため、ソフトウェアコンポーネントすべてを最新の状態に保つことが不可欠です。

悪意のある難読化と暗号化

ランサムウェア攻撃はますます増加しています。ランサムウェア攻撃では、悪意のある者が組織のIT資産にアクセスし、すべてのストレージデバイス(サーバー内のローカルドライブだけでなく、ネットワークストレージも含む)のコンテンツを暗号化します。

クラウドストレージのセキュリティ機能でリスクを軽減

Cephなどの最新のオープンソースストレージシステムには、上記のリスクを防ぐ複数の対策があります。

保存データの暗号化

データはディスクに書き込まれる際にストレージシステムによって暗号化されます。そのため、ディスクの盗難や紛失、または故障後に交換のためにメーカーに返送する際に、デバイスに保存されているデータが漏洩する可能性はありません。

伝送データの暗号化

すべてのネットワークにおいてあらゆるデータフローを暗号化すれば、機密データの傍受は不可能になります。ストレージシステムは、データを暗号化された形式のまま保存するか、または再暗号化し、保存データの暗号化によって安全に保存します。

アクセス制御

CephではCephXとLDAPを利用して、すべてのプロトコルで厳密なアクセス制御を実施します。許可されたユーザーのみが、管理者がマッピングまたは特定のユーザーと共有したブロックデバイス、ファイル共有、オブジェクトバケットにアクセスできます。

スナップショットとバージョン管理

ポイントインタイムスナップショットでは、破損や悪意のある暗号化が検出されたときに既知の正常な状態へロールバックできるため、復旧の経路が確保されます。オブジェクトストレージでは、オブジェクトの完全なバージョン管理も可能です。既存オブジェクトの新しいバージョンがシステムに追加されるときは旧いバージョンも保持され、必要に応じてアクセスできます。この機能は、監査証跡が求められる規制の厳しい環境で特に有用です。

キーのローテーション

暗号キーは異なるデバイス間で通信を保護するために使用されますが、キーは定期的に更新することが重要です。そうすれば、暗号キーが侵害された場合でも、その使用と侵入が可能な時間枠を比較的短くすることができます。

詳細情報

Cephは、使用されるプロトコルにかかわらず、クラスター内に保存されたデータを保護する複数のメカニズムを提供します。さらに、ハードウェアコンポーネントがクラスターから削除された場合でも、データ保護は強力な暗号化により維持されます。RADOSゲートウェイのS3エンドポイントなどのインターネット対応APIは、TLS接続のみを受け入れ、セキュアでないHTTPを拒否するように設定できます。

Cephの詳細は、こちらをご覧ください。

その他のリソース

ニュースレターのサインアップ

Ubuntuニュースレターの配信登録

お客様が購読登録を行われる場合、以下の条件に同意されたことになります。Canonicalのプライバシーに関するお知らせ個人情報保護ポリシー

関連記事

AI対応のCephストレージ

オープンソースのCephストレージでAIビジョンを強化 今やあらゆる企業がAIの活用に関心を持っています。既存のデータから業務の分析情報や利益を引き出し、コストを削減できることから、AI技術は変化に消極的な企業にさえ驚くほどの速度で広がっています。 しかしこのような情報、節約、利益をもたらすAIシステムは大量のデータへのアクセスに依存します。性能と信頼性の高いストレージシステムがなければ、たとえ最先端のAIソリューションでも速やかに結果は出せません。しかも新しいAI関連のワークロードが既存のビジネスアプリケーションに影響を与えてはなりません。どちらも協調して動作する必要があります。 このブログ記事では、AIソリューションが必要とするストレージシステムおよび使用するデータの […]

CentOSのサポート終了(EOL)– Cephストレージへの影響は?

暗闇から光の中へ、新たな前進 2020年に、CentOS ProjectはCentOS Streamのみに注力することを発表しました。つまりCentOS 7がRed Hat Enterprise Linuxと共通性を持つ最後のリリースです。2024年6月30日のCentOS 7のサポート終了(EOL)により、OSのセキュリティ更新、パッチ、新機能のリリースがなくなります。 このバージョンのCentOSにCephをデプロイすると、将来の困難は見えています。EOLの課題を切り抜ける方法はいくつかありますが、それぞれに短所があります。 リスク 何もしなければ、デプロイメントが古くなるにつれてCephの新しいバージョンにアップグレードする道がなくなり、新しい機能を得られなくなりま […]

VMwareの料金にお困りのあなた: UbuntuでVMを便利に運用しよう

[ウェビナー] VMwareの料金にお困りのあなた:UbuntuでVMを便利に運用しよう 日時:2024年8月7日(水)15:00~16:00費用:無料お申し込み Ubuntuは世界中で高いシェアを持つLinuxディストリビューションです。近年では、CentOSの開発打ち切り(CentOS Streamへの移行)、RHELのソースコード公開ポリシーの変更、VMwareの料金体系の変更等に伴い、Ubuntuに乗り換える方も多く、日本国内でも注目度がますます高まっています。 本Webinarでは、NTTテクノクロス社で日頃からUbuntuに関わる業務に携わっている技術者がスピーカーとなり、Ubuntuが提供する様々なツールの紹介や、Ubuntuを商用利用する場合に重要となる脆 […]