fbpx

Azureクラウドをセキュアな設定に自動修正 #aqua #セキュリティ #CSPM #Azure #クラウド

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2020年11月17日に公開された「 Auto-Remediation for Secure Configuration in Azure Cloud 」の日本語翻訳です。

Azureクラウドをセキュアな設定に自動修正


Aqua は日々何百万ものクラウドインフラの設定ミスやコントロールプレーンのイベントを監視し、ユーザのクラウドアカウントのセキュリティ問題や悪意のある挙動をチェックしています。しかし、設定ミスを特定するだけでは、現代のテンポの速い環境でクラウド資産を保護するには十分ではないことがわかりました。大規模な環境で効率的に運用するには、セキュリティ上の問題点を迅速に修正する必要があります。クラウド環境には圧倒的な数の変数が存在するため、改善プロセスを自動化することが鍵となります。

数ヶ月前に Aqua CSPM の機能として Remediations を紹介しましたが、これはお客様が AWS アカウントのセキュリティギャップを自動的に対処できるようにするものです。これらの機能を拡張し、現在では Azure 環境でも利用できます。

AquaのRemediationsタイプを知る

クラウド環境において、セキュリティリスクを検知してから修正するまでの時間を短縮することは、悪意のある攻撃者に悪用される可能性を減らすための重要な要素となります。膨大な数のリスクがあるので、適切なセキュリティ管理を実施するためにはエンジニアがレポートを確認後、変更を計画して、修正を施すまで待つことはできません。誤った設定による悪用を防ぐためには、修正を迅速に行わなければなりません。

クラウドを利用する場合、基本的にクラウドプロバイダのネイティブセキュリティツールをデフォルトで利用できます。他の機能を利用する場合も、改善を支援する機能が提供されています。しかし、これらのツールは範囲が限定されていて、一般的には迅速な修正が可能なコントロールにのみ使用されます。プロバイダが提供しているサービスでは、設定ミスにリアルタイムで対応できる粒度の細かい自動修正機能は提供されていません。これを実践することは、現代のクラウド環境において非常に重要なことです。

初期の Aqua CSPM では検出した問題を修正するために、詳細で実用的な文書・ガイド・リンク・リファレンスなどの情報をもとにした修正方法の提示だけがされていました。現在の Aqua CSPM では新たに Remediations という機能が追加されました。これはクラウドセキュリティの誤設定を検出してから修正を行うまでの時間を短縮するための堅牢な機能です。複数のモードが選択でき、運用におけるユースケースやシナリオのニーズに対応し、各セキュリティの発見に必要な自動化レベルのバランスをとれます。

どのような設定でも最大限の柔軟性と構成性を確保するために、「ガイド付き」、「アシスト付き」、「自動修正」の3つのモードを提供しています。「アシスト付き」モードでは、開発者は検出されたセキュリティリスクを評価し、事前に定義されたプロセスを使用して、Aqua CSPM のダッシュボードから直接修正を実装できます。これにより、要求に応じた、安全で信頼性が高く、反復可能な修正が可能となります。

「自動修正」モードでは、安全でない設定やリソースの配備が検出されたクラウドプロバイダのコントロールプレーンのアクティビティに反応して実行されます。これらのイベントがユーザ定義の修正ポリシーと一致すると、Aqua は即座に事前定義された修正を適用し、誤設定が積極的に悪用されることを防ぎます。

Remediations の使用をシンプルにするため、この機能は全て既存の Aqua CSPM に含まれています。また、スキャンレポートにアクセスし、詳細な内容を確認する等の操作をすべて同じUIから実行できます。Aqua は複数のクラウドプロバイダにまたがるすべてのアカウントとサブスクリプションを1つのUIで管理できます。1つのアカウント、または1つのリージョンにある何千ものアカウントに対して容易に修正を適用できます。

RemediationsをAzure環境で利用

マイクロソフトの Azure は、推定18%近くのシェアを持ちます(ガートナー「Market Share: Enterprise Public Cloud Services, Worldwide, 2019」より)。組織にとって重要なインフラの一部となっているパブリッククラウドプロバイダの中で、2番目に人気のあるプロバイダです。急速にマルチクラウドの導入が多くの企業の戦略になりつつある中、AWS と Azure は最も一般的なクラウドの組み合わせであると考えられています。

マイクロソフトのクラウドサービスの利用が拡大するにつれ、Azure 環境における設定の問題を自動的に解決できることがますます重要になってきています。Aqua Remediations を使用すると、選択された修正をきめ細かく制御しながら、複数のクラウドにまたがる設定ミスを迅速に処理できます。

たとえば、ネットワークセキュリティグループ(NSG)をより広い権限で構成すると、Azure 環境への不要なアクセスを可能にする可能性があります。これを対処するために、ユーザは修正ポリシーを定義できます。例えば NSG をパブリック公開で設定した場合、リモートアクセスを完全にブロックしたり、特定の既知の IP 範囲に制限したりできる救済処置を定義できます。手動による修正でこのような設定を実施するか、自動修正ポリシーで事前定義した設定に基づいて実施することができます。


修正ポリシーの作成

セキュリティファースト-自動修正モデル

修正の重要な課題は、最高のセキュリティプロセスを確保することです。修正処置を行うための従来のアプローチでは、所有者にアクセス権を与えることがあります。この場合ほとんどの CSPM ソリューションでは、クラウドリソースに変更を加えるために一般的に read/write の権限が必要になります。実際すべてのクラウドオブジェクトに修正の必要が場合があるため、サードパーティ製品にクラウド全体への完全な所有者レベルのアクセスを許可すると大きなリスクが発生し、バックドアを埋め込まれる可能性があります。必要なリソースに必要な権限だけを割り当てることを常に目指すべきです。しかし、管理者がすべてのリソースへアクセスできるようにすることは、最小権限の原則にも違反します。

もう1つの一般的な修正処置を行うための方法として、すべてのクラウドアカウントにリモートエージェントをインストールすることです。しかし、この場合、すでに複雑化しているクラウド環境の管理に加えて、これらのエージェントのセキュリティやメンテナンスを自分で行う必要があります。ほとんどの組織では、クラウドインフラに複雑な機能を追加したり、保守コストを増加させたりする余裕はありません。この課題を克服し、使いやすさを維持するために、Aqua は別のアプローチを採用しています。

Aqua の自動修正機能は、修正プロセスの各段階でセキュリティと信頼性を確保するために、セキュリティを第一に考えて開発されました。一時的なトークン(6桁のコードをローテートしています)を使用して、クラウドアカウントに接続する独自のセキュリティモデルを考えました。このように、必要な修正を行う場合にのみ、Aqua がサービス内の特定の設定にのみアクセスできるようになり、限られた時間の間だけアクセスします。トークンは Aqua 側で保存されることはなく、お客様のご要望に応じて(手動または自動で)提供されます。これは、市場に出回っている他のツールのアプローチとは異なる、非常に安全で粒度の高い修正方法です。

完全な可視性の維持

Remediations は従来の Aqua CSPM スキャン接続プロセスの上に展開される組み込み機能です。スキャンとレポートに使用される Aqua のインフラと、ユーザのインフラ間の既存の接続は、100%読み取り専用のままで、設定データを取得するために必要な特定の API コールの範囲に限定されています。この設計により、環境の修正処置権限は自身だけが所有し、Aqua が誤ってクラウドアカウントに変更を加えることができないようにします。

Aqua CSPM へ組み込まれたセキュリティ管理に加えて、Remediation のワークフロー全体が可能な限り透明性のある形に設計されています。修正処置がどのように発動されても、クラウドリソースに加えられた変更の進捗状況を完全に把握できます。これを実現するために、Aqua は非常に詳細なログを保持しています。誰が何をきっかけに修正を行ったのか、どのように実行されたのかなど、すべてのセッションの詳細がすべてのステップで記録されます。さらに、クラウド環境の完全なスナップショットは、修正の実行前・実行中・実行後に記録されます。

まとめ


現在いくつかのセキュリティ設定を修正するための製品が出回っていますが、Aqua の Remediations はセキュリティアプローチと使いやすさの両面で独自のものになるように設計されています。これらの機能により、クラウド環境全体のセキュリティリスクを自動的に修正しながら、修正プロセス全体を完全に制御できます。

今後の投稿では、Aqua の Remediations が起動されたときに裏で何が起こっているのか、修正の流れ全体を技術的に深く掘り下げていきます。

New call-to-action

New call-to-action
新規CTA