ハイブリッドなマルチクラウド環境で開発される最新のアプリケーションは、無数のセキュリティ脆弱性にさらされる大量のデータを扱います。 Nutanix の専門家によると、アプリケーションとデータのセキュリティは、開発プロセスの後に強化するだけでは不十分です。むしろ、セキュリティは開発とアプリケーションの全ライフサイクルに不可欠であると提言しています。ベストプラクティスと新しいツールを使用することが重要です。
彼らは、新しい分散アプリケーションやリファクタリングされた分散アプリケーション、そしてそれらに関連するデータベース技術やサービスのセキュリティは、最初から開発に組み込まれるべきであり、従来のアプリケーション開発で長年使用されてきたのと同じ入念なセキュリティ標準に従うべきだと主張しています。
「公衆インターネットを検索すれば、現在 70 万台以上のマイクロソフト SQL サーバーが見つかりますが、それらは世界中のどこからでもアクセス可能で、悪意のある人間にとって脆弱なものです」と、Nutanix のシニア・マネージャーである George Kaminski 氏は警告しています。
「データベースがオンプレミスにあろうと、パブリッククラウドにあろうと、最重要視すべきセキュリティ対策は数多くあります」
Identity Theft Resource Center 社によると、 2023 年第 4 四半期を前に、米国におけるデータ漏洩の年間総件数が過去最高を記録した報告されています。 9 月末までに、 ITRC は 2 億 3,390 万人に影響を与えた 2,100 件以上のデータ漏洩と不正アクセスを記録しました。 2023 年 10 月の報告書によると、ゼロデイ攻撃は 2022 年通年と比較して1,620% 増加したとのことです。
「これまで以上に、データベースを保護するためのベストプラクティスに従い、適切なツールを活用することが重要です」と Kaminski 氏は指摘します。
新たな罠を回避する
コンテナやマイクロサービスの利用により、アプリ開発者の市場投入までの時間は大幅に短縮されています。移植性、モジュール性、スケーラビリティ、自動化は、開発者と運用チームが協力して DevOps 文化を実現することを可能にする、これらのツールの特徴のほんの一部にすぎません。
たとえばデータベースの導入は、かつては何日も何週間もかかったかもしれませんが、今ではほとんど瞬時に行うことができます。そして、そこで重要なセキュリティ対策が見過ごされたり、慌てたりする可能性があります。
Nutanix Database Service のマーケティング責任者である Jeff Kelly 氏は、「初期のクラウド・ネイティブ・アプリケーションの多くはステートレスで、例えばウェブ検索がそうであるように、データやデータベースは後回しにされていました」 と語っています。
「しかし現在は、クラウドネイティブなアプリケーションや最新のアプリケーションの大半が、アプリに関連するデータを管理・保護するためのデータベースを必要としています。そのため、開発者は、Web アプリケーションのセキュリティリスクの範囲を考慮し、最初からセキュリティのベストプラクティスを使用する必要があります」
強固な保護のための 4 つの必須事項
Kaminski 氏と Kelly 氏によれば、最新のアプリケーションを保護するために不可欠な 4 つの機能があるといいます。
VM アクセスでのデータ暗号化 – データ・ストレージ層で安全な暗号化ドライブを鍵管理システムとともに使用することは、セキュリティ上、最も重要だと彼らは述べています。分散型クラウドアプリケーションの暗号化を強化するもう一つの方法は、データベースエンジンと同様に仮想マシン(VM)層への アクセス権を得ることです。
パブリック・クラウドのデータベース・サービスを利用する場合、データベース・エンジンと VM レイヤーへのアクセスが制限されることが多いため、これは難しいことです。
Kaminski 氏と Kelly 氏は、 Database-as-a-Service やマネージド・データベース・ソリューションを評価する際、強固なセキュリティ体制を維持するために必要なアクセス・レベルを検討することを推奨しています。
「このアクセスがあれば、利用可能なオラクルの暗号化機能をすべて実装して、保護を最大限に高めることができます。他のベンダーのデータベース・エンジンでも同様です」
ネットワーク・セグメンテーション – 各マイクロサービスを分離するコンテナで実行するアプリであっても、ネットワークはセグメント化すべきだと Kaminski 氏と Kelly 氏は意見が一致しました。その理由は、ポートスキャン技術によってアプリケーションにアクセスされ、侵害される可能性があるからです。ネットワークのセグメンテーションは、物理的または論理的な分離を強化することで、たとえ攻撃者が1つのセグメントへの侵入に成功したとしても、攻撃者の横の動きを制限することができると指摘しました。
異なるサーバーやコンテナに分散されたマイクロサービスのセグメンテーション・ルールは、最小権限のアクセス・ルールを伴うべきだと専門家は付け加えます。こうすることで、必要な人、アプリケーション、プロセス以外はデータにアクセスできなくなると彼らは述べています。
定期的なパッチ適用 – 新しい脆弱性や進化する脆弱性に対して、データベースやその他のアプリケーションにパッチを当てることは、依然として不可欠である。しかし Kaminski 氏は、多くの IT チームがサイバー脅威に対応するためにデータベースに十分な頻度でパッチを適用していないと指摘する。 2022 年の Ponemon Institute 社の調査では、情報漏えいの被害者の 60% が、情報漏えいの原因はパッチが適用されていない既知の脆弱性であると回答しています。
データベースの世界だけでも、何千もの脆弱性が確認されており、時には1つのデータベースエンジンに対して何百もの脆弱性が発見されることもある。ハッカーはまた、古い攻撃の新しいバージョンを使用しており、識別や認証の失敗、ソフトウェアやデータの整合性のギャップを利用して、データを盗んだり、アプリケーション全体をダウンさせたりしています。
ゴールデン・イメージの自動化 – 「私たちが目にする最大の問題は、開発チームと DBA (データベース管理者)の間にある」 と Kaminski 氏は言います。
「開発者がデータベースのコピーや一般的な脆弱性に対するパッチを要求することで、 DBA はビジネスクリティカルなワークロードの実行、データベースのチューニング、データ構造の最適化から時間を奪われてしまいます」。
その解決策は、可能な限りセキュリティを自動化し、一貫して適用できるようにすることだと彼は提案しました。その1つの方法として、適切なセキュリティ設定、暗号化、セグメンテーション、最新のパッチですでにハード化されているデータベースやその他のアプリケーションのゴールデンイメージを展開することが挙げられます。
ゴールデン・イメージは、VM、サーバー、またはハード・ドライブのテンプレートで、必要な仕様を正確に作成して保存し、将来のコピーのパターンとして使用します。ゴールデン・イメージは、繰り返しの設定変更やパフォーマンス調整の必要性を排除することで、時間を節約し、一貫性を確保し、エラーとそれに伴うリスクを低減することができます。
「データベースを手動で強固にするために DBA に頼らなければならないとしたら、DevOps プロセスを遅らせることになります」と Kaminski 氏は言います。「見落としがあったり、設定ミスがあるかもしれません。最新の標準を使用してすでにセキュアなゴールデンイメージを展開し、自動ロールアウトを行う方がはるかに優れています。最新の保護をすべて備えた適切なバージョンであり、開発サイクルの妨げにならないという安心感が得られます」
セキュリティ自動化を容易に導入できるように、オンプレミスとクラウドの両方にある複数のエンジンでタスクを実行できる as-a-service プラットフォームが提供されています。管理者は、1つのプラットフォームを使用してプロビジョニング、レジストレーション、クローン作成、リストアを実行し、アプリケーションとデータベースのライフサイクル全体を管理することができます。
意識の向上
アプリケーションとデータのセキュリティを強化するためのベストプラクティスを組み込んだ実践的なソリューションは、すぐに利用できます。サイバーセキュリティの脅威が増加し、それらがビジネスに悲惨な結果をもたらす可能性があることを考慮すると、すべての DevOps チームは、マルチクラウド環境におけるアプリケーションとデータベースのセキュリティ確保の課題と、それらを保護するための効果的なソリューションと戦術を理解する必要があります。
専門家によると、セキュリティのベストプラクティスは、ソフトウェア開発の初期段階から DevOps プロセスに組み込むべきだといいます。自動化を利用してテストを迅速化し、強固なゴールデンイメージを展開することで、 IT セキュリティ運用( SecOps )チームや DBA は、ミスが発生しやすくリスクをもたらす反復的な手作業から解放されます。定期的にパッチを適用することで、最新の脆弱性に対する保護が確実になります。
これらの対策はすべて、開発者、 SecOps チーム、 DBA が、アプリケーションが十分に保護されていることを認識し、安心して眠れるようにするためのものです。
編集部注:Nutanix Database Services が数百から数千のデータベースを効率的かつセキュアに管理する方法をご覧ください。
Gene Knauer 氏 は、テクノロジー企業の B2B マーケティングを専門とする寄稿ライターです。
© 2024 Nutanix, Inc. 無断複写・転載を禁じます。その他の法的情報については、こちらをご覧ください。
