クラウドストレージのセキュリティに関するベストプラクティス
by Canonical on 20 March 2024
Cephのセキュリティ機能でデータを保護
クラウドストレージシステムにデータを安全に保存するには
データはあらゆる組織にとって貴重な資産であり、紛失や漏洩は大惨事になりかねません。システム障害を防げなければ、業務データを失い、営業不能に陥って経営破綻に至る可能性もあります。機密データが漏洩すれば、企業は評判を落とすだけでなく巨額の罰金を科されます。
今回のブログ記事では、こうしたリスクに注目するとともにCephのセキュリティ機能でリスクを軽減する方法を説明します。まず、最も一般的なデータ侵害の例を挙げましょう。
物理的な盗難/輸送
ストレージ関連のハードウェア、ディスク、またはストレージシステム全体が失われると、機密情報が漏洩する可能性があります。たとえば従来の盗難です。権限のない者がデータセンターに侵入してハードウェアを持ち去ったり、修理や交換のためにメーカーに輸送する途中でハードウェアが盗まれたりする場合です。
もうひとつの物理的侵害はバックアップテープの盗難です。このリスクは、暗号化やテープレスバックアップ(伝送時や保存時に暗号化を使用)によって容易に軽減できます。
破損/ビットロット
ストレージシステムはハードウェアで構成され、時にはハードウェアコンポーネントが完全に故障します。まれには、ディスクドライブなどのコンポーネントがビットレベルのエラーを持ち込み、保存されたデータが破損する場合もあります。
最新のシステムのほとんどは、保存されたデータのスライスまたはチャンクに対するチェックサムも保存するため、破損があればデータの読み取り時に検出されます。Cephなどの一部のシステムでは、保存データを事前にスクラブします。これにより、潜在的な破損があれば検出され、他の複製データから修復されるか、消去コードチャンクから再構築されます。
ネットワーク盗聴
ローカルネットワークまたはインターネット上のシステム間でデータがコピーされる際、盗聴される、つまり、伝送中のデータが不正に傍受されることがあります。ネットワーク上の経路には、ネットワークインターフェースコントローラー(NIC)、スイッチ、ルーター、ケーブルなど、数多くのコンポーネントがあり、いずれも侵害される可能性があります。このような侵害は、最先端のテクノロジーを使用しても検出が困難または不可能です。
セキュアでないストレージシステムソフトウェア
ソフトウェアサプライチェーン攻撃によってストレージシステム内で実行中のソフトウェアが侵害され、別の経路から悪意あるコードが挿入されることがあります。は中核的なストレージソフトウェアだけでなく、ディスク、NIC、RAIDコントローラーなどすべてのコンポーネントが標的になるため、ソフトウェアコンポーネントすべてを最新の状態に保つことが不可欠です。
悪意のある難読化と暗号化
ランサムウェア攻撃はますます増加しています。ランサムウェア攻撃では、悪意のある者が組織のIT資産にアクセスし、すべてのストレージデバイス(サーバー内のローカルドライブだけでなく、ネットワークストレージも含む)のコンテンツを暗号化します。
クラウドストレージのセキュリティ機能でリスクを軽減
Cephなどの最新のオープンソースストレージシステムには、上記のリスクを防ぐ複数の対策があります。
保存データの暗号化
データはディスクに書き込まれる際にストレージシステムによって暗号化されます。そのため、ディスクの盗難や紛失、または故障後に交換のためにメーカーに返送する際に、デバイスに保存されているデータが漏洩する可能性はありません。
伝送データの暗号化
すべてのネットワークにおいてあらゆるデータフローを暗号化すれば、機密データの傍受は不可能になります。ストレージシステムは、データを暗号化された形式のまま保存するか、または再暗号化し、保存データの暗号化によって安全に保存します。
アクセス制御
CephではCephXとLDAPを利用して、すべてのプロトコルで厳密なアクセス制御を実施します。許可されたユーザーのみが、管理者がマッピングまたは特定のユーザーと共有したブロックデバイス、ファイル共有、オブジェクトバケットにアクセスできます。
スナップショットとバージョン管理
ポイントインタイムスナップショットでは、破損や悪意のある暗号化が検出されたときに既知の正常な状態へロールバックできるため、復旧の経路が確保されます。オブジェクトストレージでは、オブジェクトの完全なバージョン管理も可能です。既存オブジェクトの新しいバージョンがシステムに追加されるときは旧いバージョンも保持され、必要に応じてアクセスできます。この機能は、監査証跡が求められる規制の厳しい環境で特に有用です。
キーのローテーション
暗号キーは異なるデバイス間で通信を保護するために使用されますが、キーは定期的に更新することが重要です。そうすれば、暗号キーが侵害された場合でも、その使用と侵入が可能な時間枠を比較的短くすることができます。
詳細情報
Cephは、使用されるプロトコルにかかわらず、クラスター内に保存されたデータを保護する複数のメカニズムを提供します。さらに、ハードウェアコンポーネントがクラスターから削除された場合でも、データ保護は強力な暗号化により維持されます。RADOSゲートウェイのS3エンドポイントなどのインターネット対応APIは、TLS接続のみを受け入れ、セキュアでないHTTPを拒否するように設定できます。
Cephの詳細は、こちらをご覧ください。
その他のリソース
ニュースレターのサインアップ
関連記事
Canonical、Ubuntu Pro for WSLを発表
Windows環境におけるUbuntu 24.04 LTSのWSLインスタンスにセキュリティメンテナンスとエンタープライズサポートを一括して提供。包括的なシステム管理機能も利用できるサブスクリプションサービス。 Canonicalは本日、Ubuntu Pro for WSLの一般提供を発表しました。Microsoftストアからインストール、ソースコードとベータ版はGitHubからダウンロード可能です。 「CanonicalとMicrosoftは、緊密なパートナーシップを通じてWSLの各種機能を構築しています。この取り組みは、WSLを利用して実運用向けのLinuxソリューションを構築する企業の開発者に有益です。」 Microsoft、WSLプロダクトマネージャー、Craig […]
バックポートでパッケージのサポート終了を回避
2025年7月、Gitは危険度の高い脆弱性「CVE-2025-48384」の報告を受けました。攻撃者がこの脆弱性を悪用すれば、リポジトリのクローンを作成する際に任意のコードを実行できます。米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この脆弱性の実際の悪用事例を確認後、Known Exploited Vulnerabilities(KEV、悪用が確認されている脆弱性)のカタログに追加しました。 この脆弱性の公開時に標準サポート終了を過ぎていたユーザーにとって、選択肢は2つでした。Ubuntu Proのサブスクリプションでセキュリティパッチを入手するか、開発者の作業環境やCI/CDインフラに既知のリモートコード実行(RCE)脆弱性を抱えたまま […]
Canonical、FIPS対応のKubernetesを公開
FIPS 140-3暗号化とDISA-STIGハードニングを備えた、FedRAMP対応のKubernetesクラスターとアプリケーションスイートを導入しましょう。 本日、KubeConにおいて、Ubuntuを提供するCanonicalは同社のKubernetesディストリビューションでFIPSモードを有効化するためのサポートを公開しました。これにより、高いセキュリティの導入や連邦政府向けの導入に適したスケーラブルなクラスターの構築と管理に必要なすべての要素を提供します。バージョン1.34以降、Canonical Kubernetesは認証済みの暗号モジュールを使用した内蔵FIPS 140-3機能とともに使用できます。このFIPS機能を備えた導入により、snapパッケージと […]
