クラウドでリアルタイムに脅威を検知する

By 清水 孝郎 - MARCH 9, 2022

SHARE:

GDPR AWS compliance reports in Sysdig Secure. A detail in one of the failing controls. Sysdig secure explains the control, how is it addressed, and the proposed remediation steps.

本文の内容は、2022年3月9日にSysdig CTO Loris Degioanniが投稿したブログ(https://sysdig.com/blog/real-time-threat-detection-cloud/)を元に日本語に翻訳・再構成した内容となっております。

企業はビジネスに不可欠なアプリをクラウドに移行させ、攻撃者もそれに追随してきました。2020年は転換期で、クラウド資産の侵害やインシデントがオンプレミスを上回った最初の年でした。クラウドで運用する場合、どのように脅威を検知しているのでしょうか?

クラウドは違います。クラウドのサービスは、もはや単一の場所に閉じ込められ、出入り口も1つではありません。

従来、サービスはデータセンター内のサーバーに配置され、互いに近接し、物理的に相互接続されており、データの出入口はそのデータセンター内に1つしかありませんでした。私たちの領域は、高く厚い壁に囲まれた中世の町のように、ファイアウォールで簡単に保護され、頑丈な扉で交通や攻撃を制限し、細い矢じりで防御されていたのです。

Aerial view of Monteriggioni (https://en.wikipedia.org/wiki/Monteriggioni) by Maurizio Moro5153, July 14, 2020. Creative Commons BY 3.0 license.モンテリッジョーニの航空写真(https://en.wikipedia.org/wiki/Monteriggioni) Maurizio Moro5153著、2020年7月14日。クリエイティブ・コモンズ・BY 3.0ライセンス

現在、サービスは分散され、境界が限定された環境で運用されています。開発者、運営者、ユーザーは世界中に散らばっています。それらすべてのユーザーが1つの場所からサービスにアクセスすることは、生産性とユーザーエクスペリエンスに影響を及ぼします。お客様のサービスは、もはや出入り口が1つしかないような、1つの場所に限定されたものではありません。以前はインフラを中世の町に例えていましたが、今は遊園地のようなものです。

Rides Blurry Amusement Park Fun Fair  https://creativecommons.org/publicdomain/zero/1.0/deed.en乗り物 ぼやけた遊園地 楽しい縁日 https://creativecommons.org/publicdomain/zero/1.0/deed.en

アトラクションや複数の出入口、役者が予期せぬ行動を起こす可能性がある遊園地。クラウド技術に基づく分散型インフラでは、無数のソースからの脅威を検出する必要があります。多くのアクターがさまざまな方法で相互作用するため、潜在的なイベントの数が増え、監視する必要のある情報の量も増えます。

脅威の検知:微妙なバランス

一般的な脅威検知のアプローチは、まずログを一元管理されたリポジトリに送信し、疑わしい行動やリスクを高める設定変更の指標を検索することから始まります。しかし、これには時間がかかり、まるで動く標的を特定するようなものです。また、ログをクラウドの外部にコピーし、そのコピーを保管することは、運用上の負担となり、コストもかかります。そして、最も重要なことは、この方法では脅威の検知と対応が遅れるということです。

もちろん、監視ツールをイベントの発生源に近い場所に設置すれば、レスポンスタイムが向上することは間違いありません。しかし、これは複雑さを増し、コストを増加させる可能性があります。また、このパイプラインにはまだ多くの段階があります。どうにかして改善できないものでしょうか。

ストリーム検知でリアルタイムにログを検査する

もし、要塞化された町の入口付近を警備するのではなく、遊園地内の活動を監視することを考えたらどうでしょう。スマートなセキュリティカメラが常に警戒し、異常な行動を探し、それに応じて反応し、必要なときにアラームを発することを想像してください。クラウドインフラに置き換えると、クラウドのセキュリティをより正確に監視する方法は、ストリーム検知であることを意味します。

ストリーム検知は、動いているデータを収集、分析、レポートする連続的なプロセスです。ストリーム検知のプロセスでは、ログがリアルタイムで検査されます。このリアルタイム検知により、許可やサービスのアクセス権に対する予期せぬ変更や、侵入者の存在や最悪の場合データの流出を示す異常なアクティビティを特定することができます。そのような考えに基づいて、オープンソースコミュニティはソリューションを提供しています。Falcoです。

Falcoは、オープンソースのランタイムセキュリティツールで、しばしば現代のクラウドインフラのためのセキュリティカメラと形容されます。Falcoは、Cloud Native Computing Foundation (CNCF)のインキュベートホスティングレベルのプロジェクトです。もともとワークロードを監視するために設計されたものなので、Falcoはアプリケーションを実行しているホストやコンテナのような実行中のエンドポイントからシステムコールを収集し、それらのコンテナ内のソースから粒状のデータを収集し、アプリケーションが行うことを詳細に理解することに重点を置いています。

もちろん、インフラストラクチャーのすべてがホストやコンテナであるわけではありません。組織は、クラウドプロバイダーが提供する数多くの外部サービスからも利益を得ています。ありがたいことに、クラウドプロバイダーは、各サービスが生成する貴重な情報の共有も促進しており、その情報はモニタリングに有効です。ここが、Falco が従来の代替品と異なる点です。このオープンソースプロジェクトでは、さらに多くの種類のデータを利用することができるため、その情報をリアルタイムで取り込んで消化し、瞬時にアラートを生成することができます。

例えば、アマゾンウェブサービス(AWS)環境でこれがどのように機能するかを考えてみましょう。AWSで起こるほとんどのことは、CloudTrailと呼ばれるAWS版のクラウドログで追跡され、記録されます。CloudTrailからログを監視することで、既存のサービスだけでなく、新しくリリースされたサービスからも、予期しない動作、設定変更、侵入、データ盗難を検出することができます。FalcoとCloudTrailを接続することで、お客様のルールを一元的に管理する柔軟性を得ることができます。また、ログを外部に保存する必要がないため、帯域幅とストレージのコストを削減することができます。

脅威への迅速な対応

リスクを軽減するためには、時間が重要な要素になります。リアルタイムでログを解析し、ストリーム検知を活用することで、疑わしい活動を即座に検出し、さらなる調査のためにアラートを発することができます。

ストリーム検知やFalcoのようなプロジェクトの要点は、効果的なセキュリティ・アプローチと最新のアーキテクチャーの現実を一致させることです。そうすることで、検知までの時間を短縮し、セキュリティチームに進化するコミュニティ主導のイノベーションを提供することができます。現実には、クラウドは新しい生物であり、セキュリティを含むあらゆるものに対する新しいアプローチを可能にします。これは、それを正しく理解するチャンスなのです。

原文はSecurity Boulevardに掲載されています。