より良いパブリッククラウド管理習慣を採用

より多くの企業やエンドユーザーは、パブリッククラウドサービス(特にサービスとしてのインフラストラクチャ)にサインアップしています。これは、特定のタスクのための追加のコンピューティングパワーを迅速かつコスト効率よく取得する方法です。養子縁組が進むにつれて、これらのユーザーはマルウェア、データ漏洩、漏洩などを防ぐために、より良い習慣を採用する必要があります。

最近のテストでは、技術機関、Eurecom、Northeastern University、セキュリティベンダーであるSecludITのフランスの研究者が、Amazon Web Services(AWS)カタログに公開されている5,000を超える仮想マシン(VM)イメージのセキュリティ脆弱性やマルウェアを検出する自動スキャンツールを実行しました。クラウドプロバイダーのEC2サービス上で動作するようにプリセット構成でセットアップします。

その結果、22%のVMが、AWSやTurnkeyやJumpboxのようなサードパーティの企業のいずれかによってマシンをセットアップした人がマシンに保存されているコンテンツにアクセスできるようになったことが明らかになりました。さらに、これらのAmazonマシンイメージ(AMI)の98%に、マシンを設定した会社または個人が削除を意図したデータが含まれていましたが、引き続きVMから抽出することができました。

「Eurecomの研究者の一人であるMarco Balduzzi氏は、11月8日のレポートでForbesに語った:「マシンをセットアップした人が自分の資格情報を消去するのを忘れた場合、または資格を持っている人はすべてサーバーにログインできます。 。

来年3月に正式に調査結果を発表すると発表した研究者は、このようなシナリオはJoyent、IBM、Rackspace、Terremarkなどの他のクラウドプロバイダでも可能であると付け加えた。

OvumのIT担当アジア太平洋リサーチディレクター、Steve Hodgkinsonは、これらの調査結果に基づき、現在利用可能なAMIの多くが「ユーザーの注意を払って」無料で提供されていると述べた。

そのため、信頼できるAMIを使用するか、使用前と使用後にAMIをテストして衛生的にするかのどちらかで安全性を保護するのはユーザーの責任です。

Hodgkinson氏は、このようなパブリッククラウドサービスへのサインアップの容易さにより、より多くのエンドユーザーがIT部門をバイパスして、これらのサービスを独自に取得していることも指摘しました。これは、これらの仮想マシンに置かれた情報がITチームによって管理されず、電子メールで指摘されている可能性のあるデータセキュリティリスクを追加することを意味します。

SMB、WordPress管理ツールManageWP、SMB、ビデオ:有名なテクノロジー起業家の3つの貴重なヒント、SMB、ビデオ:Millennialsを採用するための3つのヒント、エンタープライズソフトウェア、WindowsのためのMicrosoftの新しいビジネスモデル10:

AWSのスポークスパーソンは、フランスの研究者が強調した脆弱性の妥当性を認め、顧客が個人情報を削除するための適切な予防措置を取る前にAMIを公開する際にこの脆弱性が存在すると述べている。

同氏は、今年6月にクラウドプロバイダーのセキュリティブログ記事を指摘し、この脆弱性が積極的に悪用されたという報告はないと述べた。

AWSが、実行中のAMIインスタンスにパブリッシャがリモートでアクセスできるSecureShell(SSH)キーを含むパブリックAMIを認識した場合、AWSはパブリッシャに連絡し、AMIをプライベートにするように要求します。投稿されました。サイト運営者と連絡が取れない場合、AWSはAMIを非公開にします。

クラウドベンダーのRackspace氏はこの記事のコメントを控えていた。

ベストプラクティスを遵守するホッジンソンは、この調査で強調された脆弱性に対処するために、IT部門、特に財務および公共部門の組織を推奨し、エンドユーザーによる「ステルスクラウドの採用」をコントロールし、通常のITガバナンス手配

他のベストプラクティスには、パブリッククラウドサービスを使用するための十分にテストされた信頼できる手順の確立と、認可およびモニタリングの手配が行われていることを確認するためのガバナンスの取り決めの確立が含まれます。

KPMG Advisoryのアジア太平洋地域における情報保護とビジネス回復のパートナーであるVictor Keong氏は、企業は、データセキュリティとプライバシー対策の種類に応じてさまざまなクラウドサービスプロバイダを評価する必要があると付け加えました。

企業はまた、セキュリティポリシーと必要なサービスレベルが満たされているかどうかを判断するために、サービスプロバイダーを定期的に監視し監査する必要があります。

Keong氏によると、データ違反が発生した場合に、契約上のセーフガードの標準テンプレートを策定または維持することが、さらなるステップとなります。たとえば、契約条件には、「プライバシーポリシー、コミュニケーションとトレーニング、プライバシー管理とコンプライアンス、データのポータビリティに対する選択と同意」が含まれているはずです。

GoDaddyがWordPress管理ツールManageWPを購入

ビデオ:有名なテクノロジー起業家の3つの貴重なヒント

ビデオ:Millennialsを雇うための3つのヒント

Windows 10のMicrosoftの新しいビジネスモデル:遊ぶための支払い