クラウドストレージのセキュリティに関するベストプラクティス
by Canonical on 20 March 2024
Cephのセキュリティ機能でデータを保護
クラウドストレージシステムにデータを安全に保存するには
データはあらゆる組織にとって貴重な資産であり、紛失や漏洩は大惨事になりかねません。システム障害を防げなければ、業務データを失い、営業不能に陥って経営破綻に至る可能性もあります。機密データが漏洩すれば、企業は評判を落とすだけでなく巨額の罰金を科されます。
今回のブログ記事では、こうしたリスクに注目するとともにCephのセキュリティ機能でリスクを軽減する方法を説明します。まず、最も一般的なデータ侵害の例を挙げましょう。
物理的な盗難/輸送
ストレージ関連のハードウェア、ディスク、またはストレージシステム全体が失われると、機密情報が漏洩する可能性があります。たとえば従来の盗難です。権限のない者がデータセンターに侵入してハードウェアを持ち去ったり、修理や交換のためにメーカーに輸送する途中でハードウェアが盗まれたりする場合です。
もうひとつの物理的侵害はバックアップテープの盗難です。このリスクは、暗号化やテープレスバックアップ(伝送時や保存時に暗号化を使用)によって容易に軽減できます。
破損/ビットロット
ストレージシステムはハードウェアで構成され、時にはハードウェアコンポーネントが完全に故障します。まれには、ディスクドライブなどのコンポーネントがビットレベルのエラーを持ち込み、保存されたデータが破損する場合もあります。
最新のシステムのほとんどは、保存されたデータのスライスまたはチャンクに対するチェックサムも保存するため、破損があればデータの読み取り時に検出されます。Cephなどの一部のシステムでは、保存データを事前にスクラブします。これにより、潜在的な破損があれば検出され、他の複製データから修復されるか、消去コードチャンクから再構築されます。
ネットワーク盗聴
ローカルネットワークまたはインターネット上のシステム間でデータがコピーされる際、盗聴される、つまり、伝送中のデータが不正に傍受されることがあります。ネットワーク上の経路には、ネットワークインターフェースコントローラー(NIC)、スイッチ、ルーター、ケーブルなど、数多くのコンポーネントがあり、いずれも侵害される可能性があります。このような侵害は、最先端のテクノロジーを使用しても検出が困難または不可能です。
セキュアでないストレージシステムソフトウェア
ソフトウェアサプライチェーン攻撃によってストレージシステム内で実行中のソフトウェアが侵害され、別の経路から悪意あるコードが挿入されることがあります。は中核的なストレージソフトウェアだけでなく、ディスク、NIC、RAIDコントローラーなどすべてのコンポーネントが標的になるため、ソフトウェアコンポーネントすべてを最新の状態に保つことが不可欠です。
悪意のある難読化と暗号化
ランサムウェア攻撃はますます増加しています。ランサムウェア攻撃では、悪意のある者が組織のIT資産にアクセスし、すべてのストレージデバイス(サーバー内のローカルドライブだけでなく、ネットワークストレージも含む)のコンテンツを暗号化します。
クラウドストレージのセキュリティ機能でリスクを軽減
Cephなどの最新のオープンソースストレージシステムには、上記のリスクを防ぐ複数の対策があります。
保存データの暗号化
データはディスクに書き込まれる際にストレージシステムによって暗号化されます。そのため、ディスクの盗難や紛失、または故障後に交換のためにメーカーに返送する際に、デバイスに保存されているデータが漏洩する可能性はありません。
伝送データの暗号化
すべてのネットワークにおいてあらゆるデータフローを暗号化すれば、機密データの傍受は不可能になります。ストレージシステムは、データを暗号化された形式のまま保存するか、または再暗号化し、保存データの暗号化によって安全に保存します。
アクセス制御
CephではCephXとLDAPを利用して、すべてのプロトコルで厳密なアクセス制御を実施します。許可されたユーザーのみが、管理者がマッピングまたは特定のユーザーと共有したブロックデバイス、ファイル共有、オブジェクトバケットにアクセスできます。
スナップショットとバージョン管理
ポイントインタイムスナップショットでは、破損や悪意のある暗号化が検出されたときに既知の正常な状態へロールバックできるため、復旧の経路が確保されます。オブジェクトストレージでは、オブジェクトの完全なバージョン管理も可能です。既存オブジェクトの新しいバージョンがシステムに追加されるときは旧いバージョンも保持され、必要に応じてアクセスできます。この機能は、監査証跡が求められる規制の厳しい環境で特に有用です。
キーのローテーション
暗号キーは異なるデバイス間で通信を保護するために使用されますが、キーは定期的に更新することが重要です。そうすれば、暗号キーが侵害された場合でも、その使用と侵入が可能な時間枠を比較的短くすることができます。
詳細情報
Cephは、使用されるプロトコルにかかわらず、クラスター内に保存されたデータを保護する複数のメカニズムを提供します。さらに、ハードウェアコンポーネントがクラスターから削除された場合でも、データ保護は強力な暗号化により維持されます。RADOSゲートウェイのS3エンドポイントなどのインターネット対応APIは、TLS接続のみを受け入れ、セキュアでないHTTPを拒否するように設定できます。
Cephの詳細は、こちらをご覧ください。
その他のリソース
ニュースレターのサインアップ
関連記事
公共セクターにおけるクラウドストレージのコスト
他の多くの業界と同様、公共セクターでもクラウドコンピューティングの柔軟性が注目されています。最近の問題は予測不能なコストの上昇ですが、この大部分は慎重な計画とオンプレミスのインフラストラクチャによって軽減できます。 政府の指針では、全アプリケーションをクラウドに移行するという一律的な方法ではなく、それぞれの問題に最も適切な解決策を選ぶという戦略への切り替えが推奨されています。 このブログ記事では、公共セクターの組織が直面するいくつかの課題、そしてコスト効果、拡張性、コンプライアンスを確保する方法を検討します。 クラウドストレージ クラウドコンピューティングは、ここ20年間で世界を席巻しました。拡張性、柔軟性、オンデマンドというパブリッククラウドの特性は無敵です。しかしその […]
Canonicalが初のMicroCloud LTSリリースを発表
MicroCloud 2.1.0 LTSの提供開始により、Canonicalの長期サポート付きインフラストラクチャソリューションがさらに充実 Canonicalは本日、MicroCloud初の長期サポート(LTS)リリースを発表しました。MicroCloudはCanonicalのクラウドインフラストラクチャポートフォリオの新製品です。Ubuntuの発行元であるCanonicalは、2年に1度、Ubuntu LTSリリースを発表することで知られます。このたびMicroCloud LTSの追加により、エッジからロータッチのクラウドまで拡張性の高い仮想化ソリューションを求める組織への長期サポートを拡大します。 MicroCloud 2.1.0 LTSの特長は、シングルノード環境 […]
SBI BITSとCanonical:OpenStack 導入と6年間の進化の物語
SBI BITSとCanonicalのパートナーシップは、SBIグループのITインフラを進化させ、事業継続性を確保しながら顧客満足度を向上させる成功事例として注目されています。本記事では、2018年のOpenStack/Ceph導入から6年にわたる協力の軌跡をたどります。 第1フェーズ:OpenStackの採用と初期導入 (2018年) 2018年、SBI BITSは従来の仮想化技術からOpenStack/Cephへの移行を決定しました。SBIグループ全体にITインフラを提供するSBI BITSは、リソースを迅速かつ効率的に配分する能力が求められていました。その解決策として選ばれたのが、CanonicalのOpenStack/Cephです。 この選択の理由は、以下の点にあ […]
