クラウドストレージのセキュリティに関するベストプラクティス
by Canonical on 20 March 2024
Cephのセキュリティ機能でデータを保護
クラウドストレージシステムにデータを安全に保存するには
データはあらゆる組織にとって貴重な資産であり、紛失や漏洩は大惨事になりかねません。システム障害を防げなければ、業務データを失い、営業不能に陥って経営破綻に至る可能性もあります。機密データが漏洩すれば、企業は評判を落とすだけでなく巨額の罰金を科されます。
今回のブログ記事では、こうしたリスクに注目するとともにCephのセキュリティ機能でリスクを軽減する方法を説明します。まず、最も一般的なデータ侵害の例を挙げましょう。
物理的な盗難/輸送
ストレージ関連のハードウェア、ディスク、またはストレージシステム全体が失われると、機密情報が漏洩する可能性があります。たとえば従来の盗難です。権限のない者がデータセンターに侵入してハードウェアを持ち去ったり、修理や交換のためにメーカーに輸送する途中でハードウェアが盗まれたりする場合です。
もうひとつの物理的侵害はバックアップテープの盗難です。このリスクは、暗号化やテープレスバックアップ(伝送時や保存時に暗号化を使用)によって容易に軽減できます。
破損/ビットロット
ストレージシステムはハードウェアで構成され、時にはハードウェアコンポーネントが完全に故障します。まれには、ディスクドライブなどのコンポーネントがビットレベルのエラーを持ち込み、保存されたデータが破損する場合もあります。
最新のシステムのほとんどは、保存されたデータのスライスまたはチャンクに対するチェックサムも保存するため、破損があればデータの読み取り時に検出されます。Cephなどの一部のシステムでは、保存データを事前にスクラブします。これにより、潜在的な破損があれば検出され、他の複製データから修復されるか、消去コードチャンクから再構築されます。
ネットワーク盗聴
ローカルネットワークまたはインターネット上のシステム間でデータがコピーされる際、盗聴される、つまり、伝送中のデータが不正に傍受されることがあります。ネットワーク上の経路には、ネットワークインターフェースコントローラー(NIC)、スイッチ、ルーター、ケーブルなど、数多くのコンポーネントがあり、いずれも侵害される可能性があります。このような侵害は、最先端のテクノロジーを使用しても検出が困難または不可能です。
セキュアでないストレージシステムソフトウェア
ソフトウェアサプライチェーン攻撃によってストレージシステム内で実行中のソフトウェアが侵害され、別の経路から悪意あるコードが挿入されることがあります。は中核的なストレージソフトウェアだけでなく、ディスク、NIC、RAIDコントローラーなどすべてのコンポーネントが標的になるため、ソフトウェアコンポーネントすべてを最新の状態に保つことが不可欠です。
悪意のある難読化と暗号化
ランサムウェア攻撃はますます増加しています。ランサムウェア攻撃では、悪意のある者が組織のIT資産にアクセスし、すべてのストレージデバイス(サーバー内のローカルドライブだけでなく、ネットワークストレージも含む)のコンテンツを暗号化します。
クラウドストレージのセキュリティ機能でリスクを軽減
Cephなどの最新のオープンソースストレージシステムには、上記のリスクを防ぐ複数の対策があります。
保存データの暗号化
データはディスクに書き込まれる際にストレージシステムによって暗号化されます。そのため、ディスクの盗難や紛失、または故障後に交換のためにメーカーに返送する際に、デバイスに保存されているデータが漏洩する可能性はありません。
伝送データの暗号化
すべてのネットワークにおいてあらゆるデータフローを暗号化すれば、機密データの傍受は不可能になります。ストレージシステムは、データを暗号化された形式のまま保存するか、または再暗号化し、保存データの暗号化によって安全に保存します。
アクセス制御
CephではCephXとLDAPを利用して、すべてのプロトコルで厳密なアクセス制御を実施します。許可されたユーザーのみが、管理者がマッピングまたは特定のユーザーと共有したブロックデバイス、ファイル共有、オブジェクトバケットにアクセスできます。
スナップショットとバージョン管理
ポイントインタイムスナップショットでは、破損や悪意のある暗号化が検出されたときに既知の正常な状態へロールバックできるため、復旧の経路が確保されます。オブジェクトストレージでは、オブジェクトの完全なバージョン管理も可能です。既存オブジェクトの新しいバージョンがシステムに追加されるときは旧いバージョンも保持され、必要に応じてアクセスできます。この機能は、監査証跡が求められる規制の厳しい環境で特に有用です。
キーのローテーション
暗号キーは異なるデバイス間で通信を保護するために使用されますが、キーは定期的に更新することが重要です。そうすれば、暗号キーが侵害された場合でも、その使用と侵入が可能な時間枠を比較的短くすることができます。
詳細情報
Cephは、使用されるプロトコルにかかわらず、クラスター内に保存されたデータを保護する複数のメカニズムを提供します。さらに、ハードウェアコンポーネントがクラスターから削除された場合でも、データ保護は強力な暗号化により維持されます。RADOSゲートウェイのS3エンドポイントなどのインターネット対応APIは、TLS接続のみを受け入れ、セキュアでないHTTPを拒否するように設定できます。
Cephの詳細は、こちらをご覧ください。
その他のリソース
ニュースレターのサインアップ
関連記事
CentOSのサポート終了(EOL)– Cephストレージへの影響は?
暗闇から光の中へ、新たな前進 2020年に、CentOS ProjectはCentOS Streamのみに注力することを発表しました。つまりCentOS 7がRed Hat Enterprise Linuxと共通性を持つ最後のリリースです。2024年6月30日のCentOS 7のサポート終了(EOL)により、OSのセキュリティ更新、パッチ、新機能のリリースがなくなります。 このバージョンのCentOSにCephをデプロイすると、将来の困難は見えています。EOLの課題を切り抜ける方法はいくつかありますが、それぞれに短所があります。 リスク 何もしなければ、デプロイメントが古くなるにつれてCephの新しいバージョンにアップグレードする道がなくなり、新しい機能を得られなくなりま […]
MicroCephを使用したエッジストレージ
MicroCephならどこでも手軽にエッジストレージ データはあらゆる場所に存在します。大規模な集中型のデータセンターだけでなく、小売店、リモートオフィスや支店、撮影現場のような出先、そして自動車の中にも。エッジストレージの目的は、ローカル処理、ネットワークの遅い場所では不可能なコンテンツでの共同作業、そして取り込み(ローカルで作成されたコンテンツをキャプチャして保護し、他のシステムで利用できるようにすること)です。 すべてのシナリオには2つの共通点があります。生成されるデータが重要で、その場所の帯域幅が限られていることです。 従来、このような場合にはシングルボードコンピューターを使用していましたが、時代の変化とともにデータの重要性が高まり、性能の向上と冗長性が求められる […]
Kubernetes対応のCephストレージ
相反する存在、ステートフルとステートレスが相乗効果を生み出す。 ストレージとコンテナ管理システムは、ほぼ正反対の機能を持ちます。ストレージはデータを必要な限り永続的に保存し、保護。コンテナ管理システムは変動の激しいワークロードを自動的に管理し、必要に応じてリソースを増減します。 アプリケーションのデプロイと管理については、コンテナを優先する組織が増えていますが、データを安全かつ確実に保存するという根本的な課題は依然として残っています。どのようなストレージシステムも、ハードウェアの障害から保護し、組織の最も重要な資産であるデータの可用性を維持する必要があります。 データ量は急速に増加し、1日に生成されるデータは推定で2,500ペタバイト(PB)を上回ります。幸いにも、データ […]