複数のクラウドには複数のソリューションが必要
SEC510は、クラウドセキュリティの実務家、アナリスト、研究者が、最も人気のあるパブリッククラウドプロバイダの内部構造を深く理解できるようにするための教材です。このコースでは、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)など、最も人気の高いパブリッククラウドプロバイダーの内部構造を深く理解することができます。MITRE ATT&CK Cloud Matrix や CIS Cloud Benchmarks などの業界標準や方法論を学び、その知識を実践的な演習で応用し、各プロバイダのクラウドネイティブサービスを活用した最新のWebアプリケーションを評価します。学生は、硬化していないサービスを起動し、セキュリティ設定を分析し、セキュリティが不十分であることを検証し、パッチを展開し、修復を検証します。また、各クラウドのサービスやPaaS(Platform as a Service)、IaaS(Infrastructure as a Service)を導入する際に必要な知識を身につけることができます。
ビッグ3のクラウドプロバイダーだけでも、1社で消費しきれないほどのサービスを提供しています。セキュリティの専門家としては、開発者が使用するものを、過去の実績のあるソリューションに限定したくなることもあるでしょう。しかし、このようなアプローチは、変化を嫌うセキュリティ・エンティティを製品開発部門が傍観することになり、必然的に失敗します。セキュリティではなく、機能性が採用を促進するのです。もしチームが、競合他社よりも早く製品を市場に投入するのに役立つサービスを発見したら、それを利用することができますし、そうすべきです。SEC510は、このようなチームに対して、適切かつ最新のガイダンスとガードレールを提供し、迅速かつ安全に行動できるようにする能力を身に付けます。
"このクラスは素晴らしい投資でした。3大クラウドプロバイダーのデフォルトサービスやデフォルト設定の様々な長所と短所、そして簡単には軽減できない固有のセキュリティについて、非常に多くのことを学ぶことができました。クライアントのクラウド環境の安全性を監視し、支援するために、私のチームに持ち帰ることができる実用的な内容がたくさんあります。"".
- John Senn, EY
ビジネス上のポイント
- マルチクラウドのトレンドを安全に取り込むために、積極的に行動すること。組織が単一のクラウドプロバイダーに標準化することは不可能です。Forrester社の調査によると、86%の組織がマルチクラウドと認識しています。複数のクラウドを利用したくない場合でも、合併や買収によって、マルチクラウドの利用は避けられないのです。
- クラウド・セキュリティの専門家は、ビッグ3のプロバイダーがどのように異なるかを知っておく必要があります。セキュリティの概念は、クラウド間で必ずしも同じではありません。あるプロバイダにとっては優れた戦略でも、別のプロバイダにとっては破滅的なものになる可能性があります。
- ほとんどのクラウド・サービスはデフォルトで非常に安全でないため、セキュリティを重視する組織はすべて専門家による再設定を必要とします。
- ストレージのセキュリティは、単に公開バケットを閉鎖するだけではありません。プライベートな資産でさえ、有能な攻撃者により危険にさらされる可能性があります。
- セキュリティは開発から5年以上遅れており、キャッチアップする必要がある。サーバーレスのように、セキュリティが最先端と考える技術は、非常に長い間、本番環境で使用されてきました。
このコースの受講生は、次の事柄についての知識を身に付けることができます
- クラウドサービスやPlatform as a Service (PaaS) / Infrastructure as a Service (IaaS)の内部構造を理解し、クラウドにおける意思決定を行う。
- 各クラウド・プロバイダの設計理念を理解し、セキュリティ・ソリューションを正しく適用できるようにする。設計理念が各プロバイダのサービスにどのような影響しているかを理解する
- セキュリティ管理が完全に実装される前に、多くのクラウドサービスが導入決定されてしまっているという残念な事実を発見する
- Amazon Web Services (AWS) 、Microsoft Azure、Google Cloud Platform (GCP) について深く理解する
- クラウドにとらわれないワークロードを複数のクラウドプロバイダーに展開することの長所と短所を評価する。
- アイデンティティおよびアクセス管理(IAM)の複雑さを理解する。IAMは、クラウドの最も基本的な概念の1つでる一方で、まだ十分に理解されていない概念の1つです。
- クラウド・ネットワークを理解し、それをロック・ダウンすることがクラウドにおける防御の重要な側面であることを理解する
- 機密データの損失を防ぐため、各プロバイダが格納・転送するデータをどのように暗号化するかを分析する
- クラウド・ストレージ内のデータを保護するために多層防御を適用する
- 各プロバイダのサーバーレスプラットフォームを比較する
- マルチクラウドプラットフォームの導入が促進される要員となっているサービスを概観し、最先端のサービスのセキュリティを評価する
- マルチクラウドIAMとクラウドシングルサインオンを利用して、クラウドアカウントおよびプロバイダー間でリソースへの安全なアクセスを提供する
- クラウドネイティブなプラットフォームとオープンソースのソリューションを使用して、セキュリティとコンプライアンスのチェックを自動化する
- このコースで説明したコントロールを実装するための出発点として、Terraform Infrastructure-as-Codeを十分に理解し、エンジニアリングチームと共有する
ラボ演習について
SEC 510では、講義で説明したすべての考え方をハンズオン型のラボ演習により振り返ります。ラボ演習では各プロバイダのクラウドネイティブ製品を活用し、Next.js、React、およびSequelizeで記述されたクラウドに依存しない最新のWebアプリケーションを評価します。各実習には、ステップごとのガイドが用意されているほか、追加のサポートなしでスキルをテストしたい受講生のためには「ノーヒント」のオプションが用意されています。これにより、受講生は最適な難易度を選択し、必要に応じてステップ・バイ・ステップ・ガイドに戻ることができます。
SEC 510では、ゲーミフィケーションによるCloudWars Bonus Challengesに毎日参加する機会を受講生に提供するとともに、クラウドのセキュリティと関連ツールに関する実践的なハンズオン演習を提供します。
- セクション1:VMクレデンシャルの露出、AWS IAMポリシーのハード化、AzureとGCPポリシーのハード化、高度なIAM機能、CloudWars Section 1
- セクション2:ネットワークのロックダウン、ネットワークトラフィックの分析、プライベートエンドポイントセキュリティ、クラウドVPNとマネージドSSH、CloudWars Section 2
- セクション3: 復号イベントの監査, あらゆるものを暗号化!, ストレージサービスのロックダウン, 不正なファイル共有, CloudWars Section 3
- セクション4: サーバーレスの餌食、サーバーレス機能のハード化、アプリサービスのセキュリティ、Firebaseのアクセス制御、CloudWars Section 4
- セクション5 マルチクラウド統合、Azure ADによるログイン、ベンチマークの自動化、Lab teardown、CloudWars Section 5
「ラボは素晴らしい。講義で学んだ内容をすべてカバーしている」
- Enrique Gamboa, ALG
「ラボは正気ではありません。とても素晴らしい設定です。私は多くのことを学んでおり、さらにこの素晴らしい基礎の上に構築することができるでしょう。」
- Kevin Sahota, 604 Security
「ラボは非常によく構成されており、何がなぜ起こっているのかを正確に説明するために詳細です。"」
- Gareth Johnson, Close Brothers
シラバスの概要
- セクション1:アイデンティティとアクセス管理(IAM)の安全な使用とIAMクレデンシャルの保護
- セクション2: 信頼できるネットワークへのインフラストラクチャとデータアクセスの制限
- セクション3: 休止中および転送中のデータの暗号化、ストレージのロックダウン、ログの監査
- セクション4: サーバーレスファンクション、アプリサービス、Firebase プラットフォームの検討
- セクション5: クラウドアカウント間の安全な統合と設定ミスの自動化ベンチマーク
