« CISA、NSA、FBI、NCSC~UK、ACSC、CCCS、NCSC-NZ:マネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリー | Main | Cloud Security Alliance: IoT Controls Matrix v3とそのガイド (2022.04.25) »

2022.05.13

Cloud Security Alliance: サーバーレスアーキテクチャの安全性を確保するためのCレベル向けガイダンス (2022.04.19)

こんにちは、丸山満彦です。

色々とバタバタしている中で、Cloud Security Allianceのウェブページの確認を忘れてました。。。

この、C-Level Guidance to Securing Serverless Architecturesは利点と課題のポイントがよくまとまっていて良いのかもですね。。。

CSA-JAPANは、色々と翻訳版も出しているので、ぜひこれも翻訳されると良いですね。。。

 

Cloud Security Alliance (CSA)

・2022.04.13 C-Level Guidance to Securing Serverless Architectures

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-43813

 

目次

Acknowledgments 謝辞
1. Introduction - Executive Summary 1. はじめに - エグゼクティブサマリー
Purpose and Scope 目的と範囲
Audience 想定読者
2.  Business benefit 2.  ビジネス上の利点
2.1 Innovation 2.1 革新
2.2 Agility 2.2 俊敏性
2.3 CapEx/OpEx 2.3 設備投資/運用コスト
2.4 Speed to Market 2.4 市場投入までのスピード
2.5 Automation 2.5 自動化
3. Security and risk management for serverless 3. サーバーレスのためのセキュリティとリスク管理
3.1 Elevation of inherited security with Serverless 3.1 サーバーレスで継承されるセキュリティの高度化
3.2 Serverless on the CIA security Triad 3.2 CIAのセキュリティトライアドにおけるサーバーレス
3.3 Reshaping the CIO and CISO relationship 3.3 CIOとCISOの関係の再構築
3.4 Threat Model and Serverless Best Practices 3.4 脅威モデルとサーバーレスのベストプラクティス
4. Conclusion 4. 結論
5. References 5. 参考文献
Appendix: Acronyms 附属書 頭字語
Appendix 2: Glossary 附属書 2: 用語解説

 

エグゼクティブサマリーの部分...

1. Introduction - Executive Summary 1. はじめに - エグゼクティブサマリー
Serverless computing enables developers to develop and deploy faster, allowing a more effective way to move to Cloud-native services without managing infrastructures like container clusters or virtual machines. As businesses work to bring technology value to market faster, serverless platforms are gaining adoption with developers.  サーバーレスコンピューティングは、コンテナクラスタや仮想マシンのようなインフラを管理することなく、開発者がより迅速に開発・実装し、より効率的にクラウドネイティブサービスに移行することを可能にします。企業が技術的価値をより早く市場に投入するために、サーバーレス・プラットフォームは開発者の間で採用が進んでいます。
Like any emerging technology, Serverless brings with it a variety of cyber risks. This paper in its first part covers the business benefits of Serverless architecture like agility, cost, speed to market etc. which are all correlated. The second part of the paper focuses on security for serverless applications, describing the industry-wide best practices and recommendations. In its conclusion, it summarizes how executive management should look at serverless architectures and what factors they should consider when adopting them.  他の新興技術と同様に、サーバーレスにはさまざまなサイバーリスクが伴います。本文書の第1部では、俊敏性、コスト、市場投入までのスピードなど、サーバーレスアーキテクチャのビジネス上の利点について説明します。第2部では、サーバーレスアプリケーションのセキュリティに焦点を当て、業界全体のベストプラクティスや推奨事項を解説しています。結論では、経営幹部がサーバーレスアーキテクチャをどのように見るべきか、採用する際にどのような要因を考慮すべきかをまとめています。
The information is intended for readers who are getting introduced to  serverless computing and need to understand its business and security implications. この情報は、サーバーレスコンピューティングを導入し、そのビジネスとセキュリティの意味を理解する必要がある読者を対象としています。
Purpose and Scope 目的と範囲
The purpose of this document is to provide a high level business overview of Serverless computing, along with the risks and the security concerns when implementing a secure serverless computing solution.  本書の目的は、サーバーレス・コンピューティングのハイレベルなビジネス概要を、安全なサーバーレス・コンピューティング・ソリューションを実装する際のリスクとセキュリティの懸念事項とともに提供することです。
Two players are involved in a Serverless service:  サーバーレス・サービスには、2つのプレーヤーが関与しています。
・The Service/Platform Provider - the provider of the serverless platform on which serverless applications are built.  サービス/プラットフォーム・プロバイダ - サーバーレスアプリケーションを構築するサーバーレス・プラットフォームのプロバイダ 
・The Application Owner - the user of the serverless solution/service whose applications run on the platform.  アプリケーションオーナー:サーバーレスソリューション/サービスのユーザーで、そのプラットフォーム上でアプリケーションを実行する。
Under a serverless solution/service (or serverless platform), a service provider offers compute resources that are elastically auto-allocated to serve the needs of different customers. This way, customers are charged based on usage and not on a fixed amount of bandwidth or number of servers.  サーバーレスソリューション/サービス(またはサーバーレスプラットフォーム)の下では、サービスプロバイダは、異なる顧客のニーズに合わせて弾力的に自動割り当てされたコンピューティングリソースを提供します。この方法では、顧客は固定量の帯域幅やサーバーの数ではなく、使用量に基づいて課金されます。
The designation ‘serverless’ reflects the fact that although physical servers are still used, a customer does not need to be in charge or aware of them, as they are only the provider’s responsibility. In other words, although there are technical executions on server hardware, only the cloud service provider is responsible for the compilation of the functions or the successful delivery of the service provided.  サーバーレス」という呼称は、物理的なサーバーは依然として使用されているものの、それらはあくまでプロバイダーの責任であるため、顧客はそれを担当したり意識したりする必要がないことを反映している。つまり、サーバーハードウェア上での技術的な実行はあるものの、機能の取りまとめや提供するサービスの正常な提供については、クラウドサービス提供者のみが責任を負うということである。
Examples of serverless services include Functions as a Service and Database as a Service. サーバーレス・サービスの例としては、Functions as a ServiceやDatabase as a Serviceなどがあります。
The scope of this document is limited at the perspective of implemented workloads on top of Serverless platforms offered by platform providers.  本文書の範囲は、プラットフォームプロバイダーが提供するサーバーレスプラットフォームの上に実装されたワークロードの観点に限定されています。
The primary goal is to present and promote serverless computing as a secure cloud computing execution model. 主な目的は、安全なクラウドコンピューティングの実行モデルとして、サーバーレスコンピューティングを提示し、推進することです。
For a more detailed overview of Serverless Computing, the paper “How to design a Secure Serverless architecture”  by Cloud Security Alliance is recommended. サーバーレスコンピューティングの詳細な概要については、Cloud Security Allianceによる論文「How to design a Secure Serverless architecture」が推奨されます。
Audience 想定読者
The intended audience of this document are Chief Information Security Officers (CISOs), Chief Information Officers (CIOs), Security Professionals, application and Security Engineers, risk management professionals, and other security business functions like product managers, marketing managers and business development managers, interested in serverless computing and its security.  本書の対象者は、サーバーレスコンピューティングとそのセキュリティに関心のある、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、セキュリティ専門家、アプリケーションおよびセキュリティエンジニア、リスク管理専門家、プロダクトマネージャー、マーケティングマネージャー、事業開発マネージャーなどのセキュリティビジネス部門です。
Owing to the constantly changing nature of technologies in the serverless space, readers are encouraged to take advantage of the other resources, including those listed in this document, for current and more detailed information.  サーバーレス分野の技術は常に変化しているため、読者の皆様には、最新の、より詳細な情報を得るために、本書に記載されているものを含む他のリソースを活用されることをお勧めします。

 

 

 

|

« CISA、NSA、FBI、NCSC~UK、ACSC、CCCS、NCSC-NZ:マネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリー | Main | Cloud Security Alliance: IoT Controls Matrix v3とそのガイド (2022.04.25) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« CISA、NSA、FBI、NCSC~UK、ACSC、CCCS、NCSC-NZ:マネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリー | Main | Cloud Security Alliance: IoT Controls Matrix v3とそのガイド (2022.04.25) »