Agile Cat — in the cloud

SaaS/PaaS/IaaS とセキュリティの責任範囲 – NIST

Posted in .Selected, NIST, Security by Agile Cat on April 19, 2011

言われてみれば当たり前のことですが ・・・

これは、3月に連続でポストしてきた、NIST の パブリック・クラウドに関する Security and Privacy の一部です。 前回の『 NIST による SaaS/PaaS/IaaS の最新定義 では、セキュリティの視点から見た SaaS/PaaS/IaaS を定義していました。 そして、このポストでは、それらの各モデルにおける、プロバイダーとユーザーの間での、責任範囲の分担という視点からのマトメが行われています。 考えてみれば当たり前のことなのでしょうが、その当たり前のことを、シッカリと明文化してくる NIST の努力には頭が下がります。 ーーー __AC Stamp 2

ーーーーー

以下の図が示すのは、前述のサービス・モデルで説明してきた、クラウドに加入する組織と、クラウド・プロバイダーにおける、スコープとコントロールの相違点である。図の中央には、パブリック・クラウドに該当する、一般的なクラウド環境における 5つの概念的なレイヤと、それぞれのデプロイメント・モデルが描かれている。図の両サイドの矢印は、それぞれのサービス・モデルにおける、プロバイダーとユーザーの制御を切り分ける、大まかなスコープを意味する。 一般に、クラウド・プロバイダーから提供されるサポート・レベルが幅広いと、その分だけ、クラウドに加入する組織が実施すべきスコープとコントロールは狭くなる。

下から 2つの最レイヤは、サービス・モデルの種類にかかわらず、クラウド・プロバイダーがフル・コントロールする、クラウド環境の物理的な要素を示す。物理的なプラントにおける、加熱/換気/冷房(HVAC)/電力/通信などの要素が、最下層の Facility レイヤを構成し、また、コンピュータ/ネットワークと/ストレージなどのコンポーネントと、その他の物理的コンピューティング・インフラストラクチャ要素がエレメントが Hardware レイヤを構成する。

その他の、残りのレイヤは、クラウド環境における論理的な要素を示す。 Virtualized Infrastructure レイヤは、ハイパーバイザー/仮想マシン/仮想データ・ストレージといったソフトウェア要素を必要とする。そして、このコンピューティング・プラットフォームを確立するインフラストラクチャを、具体化するためのミドルウェア・コンポーネントもサポートする。このレイヤでは、一般には仮想マシン・テクノロジーが用いられ、そこで必要とされるソフトウェアに対して、その抽象概念の提供手段を妨げないようにしている。同様に、Platform Architecture レイヤは、アプリケーションを実装するための、コンパイラ/ライブラリ/ユーティリティなどのソフトウェア・ツールを必要とする。Application レイヤは、エンドユーザーのソフトウェア・クライアントや、他のプログラムへ目標を定め、クラウドを介してディプロイされる、アプリケーション・ソフトウェアを示す。

クリックで拡大 ⇒

何人かの人々は、IaaS と PaaS の区別が曖昧であり、また、商用を目的とした提供においては、その 2つが異なるというより、よく似ていると論じている。[ Arm10 ] それにもかかわらず、これらの用語は、きわめて基本的なサポート環境と、より広範囲におよぶサポートを必要とする環境を識別し、また、クラウドに加入する企業と、クラウド・プロバイダーの管理と責任の範囲を区分するという意味で、目的を果たしている。

クラウド・コンピューティングを、組織が内部的に占有するプライベート・クラウドとして実装するのも可能であるが、その主たる推進力は、パブリック・クラウドである外部の組織へ向けて、自身の環境の一部をアウトソーシングするための、伝達手段を提供することにある。そして、あらゆる IT サービスのアウトソーシングと同様に、コンピュータのセキュリティとプライバシーという、暗黙の関心事が存在する。 そこでの重要な課題は、自らの組織におけるコンピューティング・センターの境界内から、一般大衆が容易にアクセスできる他の組織の境界内(すなわちパブリック・クラウド)に、重要なアプリケーションとデータを移動するリスクに帰結する。

コストの低減と効率を向上が、パブリック・クラウドへの移行における主要なモチベーションとなるが、セキュリティに対する責任を減らすべきではない。最終的に、クラウドへ加給する組織は、アウトソースされたサービスの、全体的なセキュリティについて責任を持つことになる。セキュリティ上の問題に対するモニタリングと取り組みは、性能や可用性といった重要な問題を監査するように、組織内に残された問題を炙り出す。クラウド・コンピューティングは新しいセキュリティの課題をもたらすため、クラウド・プロバイダーがコンピューティング環境を安全に保つ方法を、組織が監査/管理することが不可欠となり、また、データの安全を保証しなければならない。

ーーーーー

<関連>

NIST による SaaS/PaaS/IaaS の最新定義 – Jan 2011
仮想マシン・イメージの取り扱いは慎重にという、NIST からのメッセージ
ハイパーバイザーの肥大化を懸念する NIST
ハイパーバイザー と 脆弱性 の関係を NIST が指摘
ボット と クラウド は同種であるという NIST の見解
とても重要な NIST のクラウド定義:対訳

 

 

Comments Off on SaaS/PaaS/IaaS とセキュリティの責任範囲 – NIST

%d bloggers like this: