クラウドセキュリティを理解する

By 清水 孝郎 - APRIL 7, 2022
Topics: オープンソース, クラウド セキュリティ, コンテナ、Kubernetes、ホストのセキュリティ

SHARE:

本文の内容は、2022年4月7日にDaniella Pontesが投稿したブログ(https://sysdig.com/blog/understanding-cloud-security/)を元に日本語に翻訳・再構成した内容となっております。

クラウドの権限と設定の管理、クラウド内の脅威の検出、クラウドとコンテナの脅威検出のための統一されたアプローチの適用方法をご覧ください。
Securing containers and cloud for Dummies - Download now

クラウドの権限と設定の管理

組織がクラウドで成熟するにつれ、チームが使用するクラウドサービスの数と、管理する必要があるIDの権限は飛躍的に増大します。多くの人々は、チームがアプリケーションを構築して提供するために使用するこれらのサービスを、資産またはリソースと呼んでいます。クラウドの資産、役割、権限の構成は、面倒で時間がかかり、エラーが発生しやすくなるのにそれほど時間はかかりません。

資産の設定ミスや過剰な特権IDはセキュリティインシデントのリスクを高め、セキュリティインシデントの主な原因となっているので、これらを真摯に管理するようにしましょう。

IT組織は通常、クラウド資産がどのように設定されているか、クラウド内のどの権限がアイデンティティに付与されたかを完全に制御することはおろか、可視化することすらできない状態でスタートします。多くのクラウドユーザーは、S3(Simple Storage Service)バケットなど、必要に応じてクラウドサービスを手動で設定しているため、IT部門は蚊帳の外となっており、潜在的に企業は危険な状態にさらされていることになります。また、元従業員、一時的なユーザー、ゲストなどのアカウントが有効なまま放置されていたり、未使用の権限や不要な権限が付与されたユーザーIDも懸念されます。

クラウド資産と構成の発見

既存のクラウド資産とその設定を常に把握することは、手作業で行うには困難です。IT部門は、実際の数を一桁多く見逃してしまうこともあります。クラウドの絶え間ない変化、規模、複雑性に対応するためには、プログラムによるアプローチが必要です。手動プロセスは、死角を残すだけでなく、セキュリティ管理の構成が脆弱な露出した資産を見落とすリスクも増大させます。

設定の誤りは、意図しない行為(正規のユーザー)および悪意ある行為(攻撃者)の両方の結果として生じる可能性があります。行為者の性質に関係なく、動的なクラウド設定の状態をチェックすることによってセキュリティ姿勢に注意を払うことは、クラウド環境にとって実質的に必要条件と言えます。

クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)ソリューションは、クラウド構成管理機能を提供します。業界のベストプラクティスについては、CIS(Center for Internet Security)をレビューし、CISベンチマークを確認してください。このリソースには、すべての主要なクラウドに対応したチェックリストが用意されています。

過剰権限のユーザーを特定する

人間や人間以外のアイデンティティ(アプリケーション、サービス、コンテナなど)の過剰な特権的資格は、情報漏えいの最大の原因です。最小特権の原則(必要なアクションを実行するために必要以上の権限を与えないという考え方)を適用することは、賢明ではありますが、実行するのは難しい考え方です。クラウドプロバイダーは実際に権限を細かく設定しており、理論的には最小特権のポリシーにつながるはずです。しかし、現実はもっと複雑です。

実際には、アクセス権は正確な方法で割り当てられていない。多くの場合、既存のルールが再利用され、混乱を避けるために十分な範囲のパーミッションが設定されている場合にのみ注意が必要です。現代の組織では、スピードとパフォーマンスの妨げになるものは何もなく、セキュリティでさえもそうであるべきです。そのため、開発者とIT部門は、しばしば過剰になることを避けようとします。手動で微調整を行うと、過度に時間がかかり、なおかつ正確ではありません。

非アクティブなIDもパーミッションの脅威となります。これらのアイデンティティは、組織が単に記録を失い、この非アクティブを警告する機能がないため、しばしば放置されます。

クラウド・インフラストラクチャー・エンタイトルメント管理(CIEM)は、クラウド・セキュリティのツールボックスに入れるべき重要なツールです。アクティブなクラウド ID と非アクティブなクラウド ID にまたがる過剰な権限を検出し、最小権限の原則を実施するためのガイド付き修正を提供できるソリューションを探してください。

クラウドセキュリティコントロールの監視とクラウド上の脅威の検出

脅威は、フィッシング、データの漏えい、クリプトマイニング、分散型サービス拒否(DDoS)攻撃などのサイバー犯罪者の活動と見なすことができます。今日のクラウドの脅威は精巧かつ複雑で、粗く、脈絡のない、非リアルタイムのデータを使用する従来のサイロ化したセキュリティ・ソリューションでは完全に対応できないものになってきています。攻撃を効果的に検知し、阻止するためには、攻撃で適用される悪意のある活動の全領域をリアルタイムに可視化する必要があります。これには、クラウドのセキュリティ制御の監視、たとえば、リスクを増大させる設定変更の検出などが含まれます。敵対者の戦術、技術、手順に関する今日のグローバルな知識ベースに関する詳細については、attack.mitre.orgをご覧ください。

朗報は、敵対者は何らかの形で記録されたイベントの痕跡を残すということです。クラウド上の脅威を検知する方法の1つとして、クラウド監査ログを監視し、予期せぬ設定変更や権限の昇格など、異常な行動や悪意ある行為を発見することが挙げられます。

脅威のリスクは、必ずしも悪意のある行為から生じるとは限りません。クラウドの構成は常に変化しており、リスクへの影響を監視する必要があります。開発者がアプリケーションのデバッグやデプロイ時に設定や権限を変更した場合、それが組織にもたらす追加リスクについて考慮されていない可能性があります。

組織によっては、スケジュールされたプル間隔でアウトオブバンドのアクティビティログを分析したり、ログをセキュリティ情報およびイベント管理(SIEM)システムに送信して、脅威をスキャンしたりしますが、これらのアプローチには欠点があります。

  • リアルタイムではないため、危険な設定や侵入者の検知に遅れが生じるのです。
  • プルインターバルの場合、リアルタイムでの検知ができないことに加え、悪意のあるイベントの完全なシーケンスを見落とす可能性があります。
  • SIEMツールは、リアルタイム検知ではなく、フォレンジック分析に適しています。
  • 膨大な量のアクティビティログをクラウド外にコピーすることは、コストと管理が複雑であり、特定の業界ではコンプライアンス違反となる可能性があります。

クラウドアクティビティの脅威を検知する、より効果的かつ効率的な方法は、ストリーム検知を適用することです。クラウドの監査記録が生成されると、定義されたランタイムポリシーに照らして分析されます。疑わしい行動が検出されると、リアルタイムでセキュリティイベントが発生します。送信されるのはセキュリティイベントのデータのみで、すべてのログ記録は送信されません。また、監査ログのストレージ全体ではなく、新たに記録された各ログが検出ルールの条件と照らし合わせて分析されます。

ストリーム検知では、以下の例のように、クラウドの脅威の兆候をリアルタイムに検知することができます。

  • アクティビティ監査やロギングサービスの停止する。
  • ユーザーロールを変更し、許容範囲を超えるポリシーを追加する。
  • S3バケットを公開する。
  • 通常とは異なるアカウントからS3バケットにアクセスする。
  • 静止時または転送時のデータの暗号化を弱くするか、しないように変更する。
  • 多要素認証(MFA)なし、パスワードのローテーションなしなど、脆弱なパスワード設定に変更する。
  • 不適切なファイアウォールルールやネットワークアクセスコントロールに変更する。
  • 匿名または未承認のアクセス権を持つアプリケーションプログラミングインターフェース(API)アカウントを作成する。

統一された脅威検知アプローチの採用

今日のサイバー脅威の世界は複雑です。クラウドのセキュリティ制御、設定、権限の改ざんは、ワークロードの脆弱性を悪用することから始まる攻撃シナリオの戦術的ステップに過ぎず、ステルス性を高めることが手口となることもあります。敵は、レガシーツールの防御を回避するために回避技術を採用し、サイロ化されたソリューションによって残された可視性のギャップを利用することもあります。

どのような環境においても、サイバー脅威を検知し阻止するためには、まず脅威を認識することが必要です。サイロ化したソリューションからデータをつなぎ合わせようとすると、検出が遅くなり、脅威を見逃す可能性すらあります。脅威が見えなければ、その拡大を阻止することはできません。悪意のある活動は、アプリケーション、コンテナ、Kubernetes、およびクラウド資産、サーバー、サーバーレスプラットフォームで起こっている可能性があるため、脅威検出への統一されたアプローチは非常に重要です。

単一のイベントストア

統一的なアプローチでは、検出されたすべてのイベントが単一のイベントストアに格納され、攻撃の進化を示す連続したイベントタイムラインを可能にします。サイロ化されたデータは検出を遅くし、1つのアクションの微妙で悪意のある側面の検出には全く適さない場合があります。サイロ化されたセキュリティ・ツールを使用すると、各アクティビティが単独で表示されるだけで、完全な攻撃を組み立てることはできません。複数のシステムがバックドアやマルウェアファイルなどの悪意のあるアーティファクトに感染している高度な攻撃では、攻撃の構成要素と爆発範囲を完全に可視化しなければ、攻撃者を環境から完全に排除するのに数ヶ月かかる可能性があります。

クラウドやコンテナ環境における最初のアクセスから横方向への移動、悪意のあるアクションまでの攻撃者の一連の手順を明らかにする一元的なビューは、悪意のあるアーティファクトを直ちに封じ込め、除去するために必要な情報をセキュリティチームに提供することが可能です。

統一されたポリシー言語

クラウド環境全体で一貫した検出ポリシーを設定することができます。異なるポリシー言語では、学習曲線とセマンティックギャップが生じ、イベントを評価する際に構文解析や翻訳ロスが発生する可能性があります。クラウドとコンテナにまたがる脅威を検出するための単一のポリシーエンジンは、セキュリティチームのワークフローの効率を高め、ポリシー管理を容易にするだけでなく、MTTR(平均修復時間)インシデントを削減します。

オープンソースの検証

セキュリティには検証や透明性が求められるため、プロプライエタリなソリューションは避けたいところです。プロプライエタリなツールは通常、単一の組織によって管理され、イノベーションはそのリソースと優先順位によって制限されます。オープンソースの標準に基づくソリューションは、通常、主要なコントリビュート組織があり、さらに意欲的なユーザーやコントリビューターのコミュニティが、追加のアイデアや機能をもたらしてくれます。また、オープンソースは、フィードバックを提供し、問題を報告し、修正し、改善に貢献するための、よりダイナミックな環境を可能にします。また、コミュニティベースの標準を持つことで、統合開発への投資が保護されるため、オープンソースプロジェクトを中心としたテクノロジーエコシステムの成長もより速くなります。オープンソースに見られる相乗効果は、現代のサイバー脅威に対抗するための基本であるコラボレーション、検証、およびイノベーションのスピードを促進します。

セキュリティ・ソリューションを導入するだけでは十分ではありません。そのソリューションが効果的で、あらゆる攻撃に対する保護を維持し、サイバー犯罪の世界が進化しているのと同じスピードで新たな脅威を封じ込めるために進化し続けるという確信が必要なのです。

クラウド脅威の検知には、Falcoをご検討ください。Sysdigが作成したFalcoは、Kubernetes、コンテナ、およびクラウド全体で継続的にリスクと脅威を検出するためのオープンソース標準です。Falcoは、予期せぬ動作、設定変更、侵入、データ盗難をリアルタイムで継続的に検出するセキュリティカメラの役割を果たします。Sysdigは、多くのオープンソースプロジェクトのベンダーニュートラルな拠点であるCloud Native Computing Foundation (CNCF)にFalcoを寄贈しています。

クラウドセキュリティについてもっと知りたいですか?

「Securing Containers & Cloud」の電子書籍をチェックして、Infrastructure as Code(IaC)、脅威への対応、コンテナとクラウドのコンプライアンスの維持などのトピックを見つけてください。

Securing containers and cloud for Dummies - Download now