クラウドは、クラウドサービスプロバイダ(CSP)が絶えず新製品やサービスを導入し、拡大を続けています。CISは、これらの機能をクラウドで安全に保護するためのより多くのリソースを提供しています。『The Beginner's Guide to Secure Cloud Configurations』では、ユーザーがパブリッククラウドのアカウント、製品、サービスなどを安全に保護する方法を説明しています。
CISベンチマーク・コミュニティからの新しいガイダンス
CISは、有志のネットワークに呼びかけて、パブリック・クラウドのガイダンスを拡大してきました。この取り組みの結果、CISはクラウドのCSP製品やサービスに特化したベンチマークを作成することができました。
CIS は、リソースを磨き、独自のサービスごとに CIS ベンチマークを作成するのではなく、CSP に倣い、CSP の製品ごとにサービスを分類した。その代わりに、CISはCSPに倣い、CSPの製品ごとにサービスをグループ化しました。各CSPは数十の製品を提供しており、提供する機能に基づいてクラウドサービスをグループ化しています。
3つのレベルのCISクラウドベンチマーク
このガイドでは、クラウドに適用可能な3つのCIS Benchmarkカテゴリを紹介しています。
- CIS Foundations Benchmarks
- Cloud product-level CIS Benchmarks
- Standalone cloud service CIS Benchmarks
各ベンチマークレベルでは、CIS Foundations Benchmarksから始まり、CIS Hardened Imagesを介して仮想マシンのセキュリティを確保することで、セキュリティの追加レイヤーを提供しています。
- CIS Foundations Benchmarks は、パブリック・クラウドで安全に構成するためのアカウントレベルの出発点を提供します。これらのリソースは、アイデンティティとアクセス管理、ログと監視、ネットワークなどをカバーしています。基礎的なガイダンスは、AWS、Azure、Google Cloud Platform、Oracle Cloud、IBM Cloud、およびAlibaba Cloudで利用可能です。
- Cloud product-level CIS Benchmarksは、CSPの製品およびサービス構成のガイダンスを提供し、コンピュート、データベース、ストレージ、コンテナなどの分野が含まれています。これらのCISベンチマークにより、ユーザーは該当するクラウドサービスを選択し、環境に応じてクラウドを構成することができます。製品レベルのCISベンチマークは、クラウドアカウント内で使用されるクラウドサービスに組み込まれたセキュリティの追加レイヤを提供することで、CIS Foundations Benchmarksを補完します。
- Standalone cloud service CIS Benchmarksは、より広範な構成ガイダンスを必要とするCSPサービスに特化したものである。これらの場合、製品レベルのCISベンチマークにはサービスのセクションがあり、サービスのスタンドアロンCISベンチマークを指し示します。
CIS AWS End User Compute and Kubernetes Benchmarks
クラウド製品レベルのCISベンチマークの第一弾としてリリースされたのが、CIS AWS End User Compute Services Benchmarkです。これには、Amazon WorkSpaces、Amazon WorkDocs、Amazon AppStream 2.0、Amazon WorkLinkの構成推奨が含まれています。ユーザーは、該当するサービスを選択し、自分の環境で稼働しているものに合わせて構成することができます。
場合によっては、サービスに必要な設定が、1つのクラウドサービスに特化したCISベンチマークを必要とすることがあります。この場合、製品レベルのCISベンチマークには、クラウドサービスのセクションが含まれますが、サービスのための別のCISベンチマークを指すことになります。スタンドアロン型のクラウドサービスのCISベンチマークの例としては、CIS Kubernetesベンチマークがあります。
CIS currently offers multiple CIS Benchmarks for Kubernetes:
- Amazon Elastic Kubernetes (EKS)
- Google Kubernetes Service (GKE)
- Oracle Container Engine for Kubernetes (OKE)
CISは、Azure Kubernetes Service、Alibaba Kubernetes、Red Hat OpenShift KubernetesのCIS Benchmarksを今後数ヶ月のうちにリリースする予定です。
Secure Configurations with CIS Hardened Images
仮想イメージは、物理コンピュータと同じ機能を提供する仮想マシン(VM)のスナップショットです。仮想イメージはクラウド上に存在し、ユーザーはローカルのハードウェアやソフトウェアに投資することなく、日常的なコンピューティング操作をコスト効率よく実行することができます。
ハードニングとは、システムをサイバー攻撃に対して脆弱にする潜在的な弱点を制限するプロセスです。標準イメージよりも安全性の高いハードニングされた仮想イメージは、システムの脆弱性を軽減し、マルウェア、不十分な認証、およびリモートからの侵入からシステムを保護します。
安全に構成されたCIS Hardened Imagesは、クラウド上でのOSのセキュリティ確保を支援します。CIS Hardened Imagesは、CIS Benchmarksの要件を満たしており、4つの主要なクラウドコンピューティングマーケットプレイスで利用できます。AWS、Azure、Google Cloud Platform、Oracle Cloudの4つの主要なクラウド・コンピューティング・マーケットプレイスで利用できます。
Additional Layers of Cloud Security
CISは、CSPと直接協力して、各プラットフォームで最も利用されているクラウド製品やサービスを特定します。その情報をもとに、今後のCISベンチマークの開発計画を策定していきます。
すべてのCIS Benchmarksの推奨事項は、他のガイドラインや追加リソースを参照しています。これらのクラウドガイドにより、CISは、CIS BenchmarksとCSPの文書との関係を示している。その意図は、CSP が提供するガイダンスを、セキュリティの面でもそうでない面でもユーザに知らせることにある。この文書は、ユーザが、サービスを実行する際に、CSP が負う責任と、それを支援する責任を認識するのに役立つ。
クラウドの拡大が急速に進むということは、それだけ多くの製品やサービスが間もなく登場することを意味しています。CISは、CSPと緊密に連携して、開発の一歩先を行くようにしています。これにより、グローバル・ユーザー・コミュニティにコストをかけずに、タイムリーで効果的なガイダンスを提供することを計画しています。