クラウドセキュリティ体制管理ガイド
クラウドセキュリティ体制管理 (CSPM)クラウド リソースの構成をチェックして、リスクの軽減とデータ プライバシー標準への準拠を確認するプロセスです。
クラウド資産のセキュリティを強化するために実装できる常識的な手動慣行にはいくつかのレベルがありますが、より徹底した CSPM は以下の方法によってのみ達成できます。 オートメーション 。したがって、クラウド セキュリティ体制管理は、 CSPM ツール 。
CSPMは何をするのですか?
クラウド プラットフォーム インフラストラクチャのプロバイダーは、すべてのソフトウェアを最新の状態に保ち、ソフトウェアの発見を追跡することが期待できます。 エクスプロイト 、彼らはそれをシャットダウンしました。ただし、顧客が実装するアカウント設定とアクセス制御は、クラウド プラットフォーム プロバイダーの責任ではありません。
ストレージスペース、仮想サーバー、アプリケーションなどのクラウドシステムのユーザーは、可能な限り安全な方法でシステムを実装していることを確認する必要があります。 CSPM ツール スキャン それらのアカウントを管理し、管理が緩すぎる箇所を特定します。
クラウドセキュリティ体制の管理 脆弱性管理に相当するクラウドとみなすことができます。あ 脆弱性スキャナー ネットワーク、サーバー、ソフトウェアを調べて、ハッカーが利用できるセキュリティの抜け穴を探します。これは自動化された形式です 侵入テスト 。 CSPM も同じことを行いますが、特にクラウド資産を対象としています。
脆弱性スキャナーは次のリストを通じて機能します。 既知のエクスプロイト CSPM ツールは、クラウド サービス構成のリストを実行して、検査対象のシステムにその状態が存在するかどうかをテストします。 ベストプラクティス 。 CSPM はリソースをチェックし、その構成がデータベースに記録したパターンと同じではないことを確認した場合、 警報を発する 。
構成ミスへの対処
市場には多くの CSPM ツールが入手可能ですが、それらがサービスの多様性を生み出す主な方法の 1 つは、 応答する 弱点の発見に。
すべての CSPM ツールは、 警報を発する ベストプラクティスからの逸脱を発見したとき。これは、アセットとその現在の設定が必要な設定とともにリストされるため、重要なステップです。 CSPM ツールを実行する主な目的の 1 つは、データ プライバシー標準を証明することです。 コンプライアンス 、既存の構成と理想的な構成の違いが書き込まれます。 ログ 。
規格準拠の大部分は以下にあります。 文書化する すべてを実行し、外部のコンプライアンス監査中に検査できるようにログを作成します。
ツールが異なる点は、支援するためのさらなるアクションも実装しているかどうかです。 修復する セキュリティの弱点。場合によっては、ツールはアラートと説明のみを発行し、他には何も発行しません。他の場合には、ツールは次のように生成します。 ガイド 管理者が構成を手動で調整する方法と、他のツールで調整する方法について説明します。 変更を加える 。
修正を実装するシステムは次のように呼ばれます。 ロボットプロセスオートメーション (RPA)。これはマクロのようなもので、 ワークフロー プラットフォーム固有の変更を実装します。 RPA がセットアップされている場合 トリガールール 自動的に起動するには、システムは次のことを必要とします。 ダッシュボードの認証情報 CSPM システムの設定画面に表示されます。別のアプローチは、アラート レポートでリンクされるライブラリからのスクリプトを提示することです。次に、管理者は次のスクリプトを実行する必要があります。 対話型プロンプト ユーザー名とパスワードについては。
クラウドセキュリティ体制管理の主な機能
一般的な CSPM ツールに期待できる機能を要約すると、次のようになります。
- PaaS、IaaS、SaaS 製品などのクラウド サービスのスキャン
- 構成のベスト プラクティスのデータベース
- 既存の構成と理想的な構成の比較
- リスクスコアリング
- 資産ステータスのライブ読み取り
- スキャン結果のログ記録
- 修復のために講じられた措置の記録
- 特定の規格に準拠するためのチューニング
- クロスプラットフォームの追跡
- 継続的かつ繰り返しの実行
- 修復プレイブックのライブラリ
他のいくつかの機能は「あると便利」として分類でき、一部のプラットフォームでは並列モジュールとして提供されます。
関連するセキュリティサービス
の問題 ID とアクセスの管理 (IAM) はグレーゾーンです。これを CSPM の権限に含める人もいますが、別の戦略として保持することを好む人もいます。ユーザー アカウントとそのセキュリティ設定は、クラウド サービスにおけるセキュリティの脆弱性の潜在的な原因となります。
一般に、クラウド セキュリティ プラットフォームは Cloud IAM を分離します。これは主に、これが追加収入を得たい高価値のサービスであるためです。確かに、クラウド資産を安全に保ちたい企業は、アクセス権管理戦略も厳格に保つ必要があります。一部のプラットフォームでは、Cloud Identity Security と Cloud Security Posture Management を、パッケージ内の 2 つのリンクされたモジュールとして提供しています。 パロアルト プリズム クラウド はそのようなバンドルの例です。
考慮すべき 3 番目の要素は、Cloud Workload Protection です。このタイプのシステムは脅威検出サービスであり、クラウド資産を運用する場合は、セキュリティと並行して継続的な保護が必要になります。 システムの強化 CSPMの値。
推奨されるクラウド セキュリティ体制管理ツール
8 つの最高の CSPM ツールをレビューする別のレポートを用意しました。ただし、クラウド セキュリティ体制管理に関する別のガイドを読む時間がない場合は、そのレビューの推奨事項を以下にまとめます。
1. Datadog クラウドのセキュリティ体制の管理
データドッグは、さまざまなクラウドベースのシステム監視および管理ツールとその管理ツールを提供します。 クラウドセキュリティ体制の管理 サービスはその安定性に新たに追加されました。このツールは、CIS、PCI DSS、HIPAA、GDPR への準拠を強制するように調整できます。
このパッケージは、システム管理技術者に期待されるプログラミングやスクリプトのスキルを持たないセキュリティ アナリストが使用できるように設計されています。 Datadog は、CSPM と並行して、と呼ばれるクラウド ワークロード保護プラットフォームを提供します。 クラウドワークロードセキュリティ 。同社はクラウドベースのサービスも提供しています シェムリアップ 追加のセキュリティ保護と ログマネージャー これは、コンプライアンス監査のためのログの管理と分析に役立ちます。
2.クラウドストライク ファルコン ホライズン CSPM
そのユニークなセールスポイントは、 クラウドストライク ファルコン ホライズン CSPM CrowdStrike がその目標に到達しているということです。 脅威インテリジェンス サービス。したがって、スキャナーは構成をベスト プラクティスと比較するだけでなく、現在世界中でハッカー グループによる攻撃を受けているシステムの侵入ポイントに焦点を当てます。
CrowdStrike には以下が含まれます アクセス権の監査 CSPM では、Azure AD の実装に特に注意を払っています。このツールは管理者にセキュリティ リスクを警告し、その修正方法に関するガイドを生成しますが、自動修復は提供しません。 セキュリティアナリスト CrowdStrike のスタッフがオンコールでアドバイスを提供します。アドバイスは価格に含まれています。
3. パロアルト プリズム クラウド
パロアルト プリズム クラウド クラウドをバンドルした 5 つのモジュール プラットフォームを提供します セキュリティ体制の管理 、 クラウドワークロード保護 、 クラウドネットワークセキュリティ 、 クラウドアイデンティティセキュリティ 、 そして クラウドコードセキュリティ 。これは IAM 分析サービスにパッケージ化されており、クラウド アクセスへのアクセス制御を強化し、攻撃への備えを強化します。
Prisma Cloud はすべてのスキャナーを同時に実行し、 継続的に 、新たに発見されたセキュリティの弱点と脅威について警告します。このサービスはクラウド資産を徹底的に文書化し、コンプライアンスレポートの資料を提供するだけでなく、セキュリティを強化するためのアクションに関する推奨事項も提供します。修復は自動的には行われません。
4.チェックポイントクラウドガード
の チェック・ポイント・クラウドガード プラットフォームには 5 つのモジュールがあります。 クラウドセキュリティ体制の管理 、 クラウドアプリケーションのセキュリティ 、 クラウドワークロード保護 、 クラウド インテリジェンスと脅威ハンティング 、 そして クラウドネットワークのセキュリティと脅威の防止 。
このサービスには、アクセス権の監査と継続的なアカウント アクティビティの監視が含まれます。 CSPM が提供するのは、 システムの強化 、脅威防止サービスは異常な動作を継続的に探します。このサービスは高度な修復の自動化を提供し、コンプライアンスの実施とレポート作成に非常に優れています。
5.BMC Helixクラウドセキュリティ
BMC Helix クラウド セキュリティ は、すべての発見事項とすべての是正措置が完全に文書化されているため、コンプライアンス レポートに適したパッケージです。設定できるのは、 PCI DSS 、 CIS 、 そして GDPR 事前に作成されたテンプレートを適用することによって。
これは、弱点が検出されたときに行動のガイドを生成するアラートベースのシステムです。アラートはITSMシステム経由でチケットとして送信でき、事前に作成されたトリガーを実行することもできます。 修復プレイブック 手動でも自動でも。
Helix Cloud Security プラットフォームは、Azure および AWS 上のプロセスのクラウド ワークロード保護も実装します。
6. Zscaler のワークロードの状況
Zscaler のワークロードの状況 CSPM サービスには、アクセス権の監査と管理が含まれています。 Zscaler は、ゼロ トラスト アクセス、SASE、および安全なソフトウェア定義 WAN のリーダーであるため、このプロバイダーの他のサービスを組み合わせて、すべてのリソースを 1 つの仮想ネットワークにまとめることができるかもしれません。システムがクラウドベースであることが非常に多い場合は、ワークロード ポスチャが最初の選択肢になります。
このサービスのダッシュボードでは、常に調整されたライブ情報が提供されます リスク評価 機密データの識別。このツールは API 経由でクラウド アカウントに組み込まれるため、調整はほとんど必要ありません。修復ワークロードは、自動応答または手動アクティブ化に使用できます。
7. Rapid7 InsightCloudSec
Rapid7 InsightCloudSec の束です CSPM 、 クラウドワークロード保護 、 そして ID とアクセスの管理 。このサービスは、ライブ システムで使用するだけでなく、CI/CD パイプライン テスターとしてもセットアップできます。このパッケージは、コンプライアンス レポート用のこのリストにある他のオプションほど強力ではありません。
Rapid7 はクラウドベースのセキュリティ システムのリーダーの 1 つであり、ハイブリッド環境に適しています。 Insight プラットフォームで利用できるその他のツールには、XDR と SIEM を組み合わせたサービスと呼ばれるものがあります。 インサイトIDR 。このツールは次のような場合に強力です コンプライアンスレポート InsightCloudSec システムよりも優れているため、これら 2 つのパッケージを組み合わせるとうまく機能します。
8. ソフォスクラウドオプティクス
ソフォスクラウドオプティクス は、コンプライアンスの監視とレポート作成、およびシステムの強化に適したパッケージです。システムは、基盤となるサービスのすべての登録済みアカウントをスキャンできます。
Cloud Optix が生成する アラート システムの弱点を発見し、 ガイド ただし、修正が実装されるわけではありません。このリストの他のパッケージにはないこのパッケージの興味深い機能は、 クラウドコストオプティマイザー 。これにより、各プラットフォームに費やした金額が追跡され、同じサービスの費用が安くなる代替パッケージが特定されます。