セキュリティー対策に階層型アプローチを採用

セキュリティー対策に階層型アプローチを採用
クラウド・インフラストラクチャーの保護における難題の 1 つは、攻撃対象面が非常に広範であるという点です。アプリケーション、オペレーティング・システム、ハイパーバイザー、BIOS、またはファームウェアの各レベルで脆弱性を突かれる危険性があります。これは、ワークロードを効率的にホストするには欠かせないオープン性を維持しながら、多様化する複雑なスタックを保護する必要性も意味しています。

マルウェアがインフラストラクチャーの 1 つのレイヤーを潜り抜けてしまうと、スタック全体が侵害されることになります。ファームウェアや BIOS のレベルで攻撃を仕掛けるマルウェアは、ソフトウェアでは検出も削除も非常に難しく、 どちらのレイヤーも不揮発性であるため、ハードウェアをリセットしてもマルウェアは生き延びてしまいます。また、このレベルではさらに上位層への高度な特権アクセスが付与されている可能性もあり、データ層にまで行き着いてしまう危険性も回避できません。

マルチレイヤー防御による強化
スタック全体を保護できる単一のソリューションは存在しません。インフラストラクチャーの各レイヤーを確実に保護するには、複数のソリューションを組み合わせて使用する必要があります。

• ファームウェアの保護: ハードウェア内で信頼のルートを確立することから始めます。インテル®
ブートガードを使用して、古いファームウェアに暗号化の Root of Trust for Measurement (RTM) を実行できるため、ファームウェアが改ざんされた場合でも対処できます。インテル® プラットフォーム・ファームウェア・レジリエンス (インテル® PFR) テクノロジーにより、起動時にファームウェアの署名の正当性チェックを行い、ブート動作が正常か確認します。それだけでなく、ホワイトリストに登録済みのコマンドのみがフラッシュメモリーおよびリカバリーメモリーにアクセスできるようにし、ファームウェアが不正にアクセスされても正常な状態に回復させることが可能です。

• BIOS、OS、ハイパーバイザーの保護: インテル® トラステッド・エグゼキューション・テクノロジー (インテル® TXT) は、プラットフォームを強化してハイパーバイザーへの攻撃、BIOSやファームウェアへの攻撃、悪意あるルートキットのインストール、ソフトウェア・ベースの攻撃といった脅威から守ることを目的に設計されています。このテクノロジーは、Measured Launched Environment (MLE) による起動スタックの制御強化と、ブートプロセスにおける隔離により保護を強化します。インテル® TXT を使用することにより、ハイパーバイザーやオペレーティング・システムの安全なインストールと起動を確認できます。

• アプリケーションの保護: 多くの場合、マルウェアの目的は機密データや専用コードの窃取です。インテル® Xeon® プロセッサー・スケーラブル・ファミリーで導入されたインテル® ソフトウェア・ガード・エクステンションズ (インテル® SGX) により、安全なエンクレーブをハードウェア内に作成して保護することができます。安全なエンクレーブ内にあるコードやデータにアクセスできるのは、信頼されたアプリケーション・コードのみです。保管中のデータならば暗号化で保護できますが、インテル® SGX は使用中のデータの保護も可能で、オペレーティング・システム、ハイパーバイザー、または BIOS のレベルで特権を悪用するマルウェアからデータを保護できます。

セキュリティーを収益につなげる方法
クラウド・サービス・プロバイダーにとって防御手段としてのセキュリティーの強化は不可欠ですが、安全性の向上はビジネスを成長させる機会でもあります。例えば、NIST SP800-193 プラットフォーム・ファームウェア・レジリエンスのガイドライン (英語) の基準遵守を示すことで、規制の厳しい業界からも顧客を獲得しやすくなります。この点もインテル® PFR を導入するメリットです。

また、セキュリティー・テクノロジーの進歩を基盤にサービスを構築することもできます。クラウド・サービス・プロバイダーの PhoenixNAP は Data Security Cloud (英語) という仮想化サービスを提供しています。このサービスは顧客に、セキュリティーの監視 / 管理チームによるサポート対象のセキュリティー・ツールを提供します。Equinix はインテル® SGX を使用して、鍵の管理と暗号化を行う Software as a Service (SaaS) を展開しています。

インフラストラクチャーのセキュリティー強化の詳細については、インテルの新しいホワイトペーパー: 「より安全なクラウドのための 3 層セキュリティー (Three Security Layers for a More Secure Cloud)」 を参照してください。

セキュリティー強化によるクラウドの保護


3 層セキュリティー・アプローチによるクラウドサービスの保護についての詳細をご覧ください。インテルのホワイトペーパー「より安全なクラウドのための 3 層セキュリティー (Three Security Layers for a More Secure Cloud)」をダウンロードできます。

階層型セキュリティーによるクラウドの保護

クラウドデータは常に攻撃にさらされています。クラウドの保護に階層型セキュリティーがどのように役立つかをご覧ください。

詳細情報 (英語)

クラウド・サービス・プロバイダー向けリソース

急速に進化するテクノロジーの一歩先を進み続け、差別化と俊敏性によって競争力を高めることができます。

クラウド・サービス・プロバイダー向けのリソースを確認する