クラウドストレージのセキュリティに関するベストプラクティス
by Canonical on 20 March 2024
Cephのセキュリティ機能でデータを保護
クラウドストレージシステムにデータを安全に保存するには
データはあらゆる組織にとって貴重な資産であり、紛失や漏洩は大惨事になりかねません。システム障害を防げなければ、業務データを失い、営業不能に陥って経営破綻に至る可能性もあります。機密データが漏洩すれば、企業は評判を落とすだけでなく巨額の罰金を科されます。
今回のブログ記事では、こうしたリスクに注目するとともにCephのセキュリティ機能でリスクを軽減する方法を説明します。まず、最も一般的なデータ侵害の例を挙げましょう。
物理的な盗難/輸送
ストレージ関連のハードウェア、ディスク、またはストレージシステム全体が失われると、機密情報が漏洩する可能性があります。たとえば従来の盗難です。権限のない者がデータセンターに侵入してハードウェアを持ち去ったり、修理や交換のためにメーカーに輸送する途中でハードウェアが盗まれたりする場合です。
もうひとつの物理的侵害はバックアップテープの盗難です。このリスクは、暗号化やテープレスバックアップ(伝送時や保存時に暗号化を使用)によって容易に軽減できます。
破損/ビットロット
ストレージシステムはハードウェアで構成され、時にはハードウェアコンポーネントが完全に故障します。まれには、ディスクドライブなどのコンポーネントがビットレベルのエラーを持ち込み、保存されたデータが破損する場合もあります。
最新のシステムのほとんどは、保存されたデータのスライスまたはチャンクに対するチェックサムも保存するため、破損があればデータの読み取り時に検出されます。Cephなどの一部のシステムでは、保存データを事前にスクラブします。これにより、潜在的な破損があれば検出され、他の複製データから修復されるか、消去コードチャンクから再構築されます。
ネットワーク盗聴
ローカルネットワークまたはインターネット上のシステム間でデータがコピーされる際、盗聴される、つまり、伝送中のデータが不正に傍受されることがあります。ネットワーク上の経路には、ネットワークインターフェースコントローラー(NIC)、スイッチ、ルーター、ケーブルなど、数多くのコンポーネントがあり、いずれも侵害される可能性があります。このような侵害は、最先端のテクノロジーを使用しても検出が困難または不可能です。
セキュアでないストレージシステムソフトウェア
ソフトウェアサプライチェーン攻撃によってストレージシステム内で実行中のソフトウェアが侵害され、別の経路から悪意あるコードが挿入されることがあります。は中核的なストレージソフトウェアだけでなく、ディスク、NIC、RAIDコントローラーなどすべてのコンポーネントが標的になるため、ソフトウェアコンポーネントすべてを最新の状態に保つことが不可欠です。
悪意のある難読化と暗号化
ランサムウェア攻撃はますます増加しています。ランサムウェア攻撃では、悪意のある者が組織のIT資産にアクセスし、すべてのストレージデバイス(サーバー内のローカルドライブだけでなく、ネットワークストレージも含む)のコンテンツを暗号化します。
クラウドストレージのセキュリティ機能でリスクを軽減
Cephなどの最新のオープンソースストレージシステムには、上記のリスクを防ぐ複数の対策があります。
保存データの暗号化
データはディスクに書き込まれる際にストレージシステムによって暗号化されます。そのため、ディスクの盗難や紛失、または故障後に交換のためにメーカーに返送する際に、デバイスに保存されているデータが漏洩する可能性はありません。
伝送データの暗号化
すべてのネットワークにおいてあらゆるデータフローを暗号化すれば、機密データの傍受は不可能になります。ストレージシステムは、データを暗号化された形式のまま保存するか、または再暗号化し、保存データの暗号化によって安全に保存します。
アクセス制御
CephではCephXとLDAPを利用して、すべてのプロトコルで厳密なアクセス制御を実施します。許可されたユーザーのみが、管理者がマッピングまたは特定のユーザーと共有したブロックデバイス、ファイル共有、オブジェクトバケットにアクセスできます。
スナップショットとバージョン管理
ポイントインタイムスナップショットでは、破損や悪意のある暗号化が検出されたときに既知の正常な状態へロールバックできるため、復旧の経路が確保されます。オブジェクトストレージでは、オブジェクトの完全なバージョン管理も可能です。既存オブジェクトの新しいバージョンがシステムに追加されるときは旧いバージョンも保持され、必要に応じてアクセスできます。この機能は、監査証跡が求められる規制の厳しい環境で特に有用です。
キーのローテーション
暗号キーは異なるデバイス間で通信を保護するために使用されますが、キーは定期的に更新することが重要です。そうすれば、暗号キーが侵害された場合でも、その使用と侵入が可能な時間枠を比較的短くすることができます。
詳細情報
Cephは、使用されるプロトコルにかかわらず、クラスター内に保存されたデータを保護する複数のメカニズムを提供します。さらに、ハードウェアコンポーネントがクラスターから削除された場合でも、データ保護は強力な暗号化により維持されます。RADOSゲートウェイのS3エンドポイントなどのインターネット対応APIは、TLS接続のみを受け入れ、セキュアでないHTTPを拒否するように設定できます。
Cephの詳細は、こちらをご覧ください。
その他のリソース
ニュースレターのサインアップ
関連記事
CanonicalのS3機能でコストを予測、比較、削減
かつて私は、どれだけデータを保存する必要があるかわからないプロジェクトを始める際、パブリッククラウドストレージが便利だと書きました。しかしデータセットが増えるにつれ、パブリッククラウドストレージのコストは膨大になります。このような場合、オンプレミスまたはコロケーションの自社運用ストレージシステムを運用すれば、コスト、性能、セキュリティ、データ主権など多くの面でメリットがあります。この記事では、企業におけるストレージの利用方法をいくつか紹介し、どの程度のコスト削減が見込めるかを解説します。 ストレージワークロードの増加 AWS S3、Azure Blob、GCP GCSといったクラウドコンピューティングサービスでは、演算処理、ストレージ、ネットワーキングのリソースを即座に利 […]
トラブルシューティング
アップストリームの変更でスマートカードのFIPS認証が機能しなくなったときの対処方法 ある行政機関が組織内で運用しているUbuntuデバイスすべてにスマートカード認証を義務付けました。ところがコンプライアンス要件を満たすためにFIPSモードを有効にすると、スマートカード認証の機能が停止してしまい、1,000台近いシステムがFIPS認証への対応を待つことになりました。 Canonicalのサポートチームは、まずOpenSCのアップストリームでの変更が意図せずFIPSとの互換性を損なっていることを突き止めました。次に、すべてのディストリビューションのアップストリームの開発者と連携し、緊急用のホットフィックスと正式な修正の両方を提供しました。このときの対応を以下にご紹介しましょ […]
Authd OIDCでUbuntuのID連携を拡張
新しいAuthd OIDCブローカーでUbuntuがさらに多くのIDプロバイダーに対応 Canonicalは本日、Authdに対応する新しい汎用OpenID Connect(OIDC)ブローカーの一般提供を開始しました。企業がアクセス管理のコントロールを一元化する上で、自社のアイデンティティソリューションを選択できることは極めて重要です。そのニーズに応えるのがCanonicalの新しいブローカーsnapです。これにより、標準的なOIDCフローに対応する任意のIDプロバイダーをUbuntu DesktopとUbuntu Serverに統合できます。そしてKeycloakのような自社運用型ソリューションを利用するコミュニティユーザーも、Oktaのようなプラットフォームを活用す […]
