BYOK(Bring Your Own Key)をさらに進化させたBring Your Own Bucket(Storage) #aqua #セキュリティ #CSPM #AWS
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2021年1月28日に公開された「 Aqua CSPM Takes BYOK Further with Bring Your Own (Storage) Bucket 」の日本語翻訳です。
BYOK(Bring Your Own Key)をさらに進化させたBring Your Own Bucket(Storage)
BYOK(Bring Your Own Key)とは、エンドユーザから提供された暗号化キーを使ってデータへのアクセスを制限する信頼性の高い方法です。私たちはこのコンセプトを次のレベルに引き上げ、「Bring Your Own Bucket(BYOB)」のサポートを追加しました。この新しいモデルは、ユーザがデータをより適切に管理するための革新的なクラウドネイティブのアプローチです。このモデルは、規制、コンプライアンス、内部セキュリティの要件を満たすために、より高度なデータアクセス制御を必要とする企業が抱える共通の問題解決をお手伝いします。
Aqua CSPM(Cloud Security Posture Management)は、Aqua が管理する共有のマルチテナントバケットを使用するのではなく、ユーザ自身の AWS S3 ストレージバケット(持ち込み)を使用して、Aqua のクラウドインフラスキャンで収集した生のレスポンスデータが保存可能になりました。
クラウドネイティブ機能の活用
この機能は、「クラウド」が登場する以前から、多くの企業が従来の非クラウド環境に求めていたものです。S3 バケット、クロスアカウントアクセス、KMSキーの共有(すべて AWS のテクノロジーをベースにしています)を使用することで、クラウドネイティブ環境で既に利用可能なリソースを使用してこの機能を独自に適用し、クラウドが提供するセキュリティとスケーラビリティを効果的に活用することができます。
全ての機能はクラウドネイティブツールを使用して提供され、エージェントのインストールも不要です。現在基盤となるストレージリソースに単一の AWS アカウントを利用するあらゆるクラウドプラットフォームをサポートしています。Azure Blob Storage や他のクラウドプラットフォームのストレージリソースを使用した BYOK のサポートは、今後のリリースで予定しています。
Bring Your Own Bucket
従来の Aqua CSPM データ収集モデルでは、ユーザのインフラデータを収集し、ユーザ識別子によってセグメント化された独自の S3 バケットに保存します。この RAW データは、クラウドプロバイダーの API コールからのレスポンスを含み、バケットポリシー、ACL 制限、サーバ側の暗号化を含むいくつかのセキュリティコントロールによって保護されています。次に、このデータをバックエンドプロセスとスキャンプラグインにフィードしてスキャンレポートを作成し、Aqua CSPM コンソール内で表示します。最後に標準的なデータクリーンアッププロセスの一環として、収集したすべての RAW データは36時間後に削除されます。
この新しいモデルでは、データはすべてユーザのクラウドアカウント内で収集され、その後ユーザのクラウドアカウント内にある S3 バケットへ保存されます。これによりユーザと企業は、データを所有、および統制することができます。この機能をオンにすると、データは KMS キーを使用して暗号化されます。これはデータそのものだけではなく、アクセス権、削除ポリシー、オブジェクトのライフサイクル、監査ポリシーなどを完全に管理できるようになります。
データの管理を強化
現在のデータ収集および保存プロセスはすでに安全ですが、収集されたデータへのアクセスをより綿密に管理し、完全なコントロールを維持することができます。これれは社内外の要件に応じた実証可能なデータアクセス制御を維持し、証明するのに便利です。例えば独自のアクセスログインポリシーを作成し、独自のインフラストラクチャの管理の一環として、データに触れたすべてのユーザ、サービス、プリンシパル、ポリシー、その他のあらゆるものについて、そのストレージバケットへのすべてのアクセスをログに記録しレポートできます。
契約上の理由(顧客からの要求など)でこのレベルの管理が必要な場合や、法規制遵守のための管理(データプライバシーなど)を遵守する必要もあったりするため、データの保存先について特に注意を払う必要がある場合があります。あるいは、SaaS プロバイダーと連携する際に、内部統制としてデータアクセスの完全な制御を維持する必要がある場合もあります。
容易なセットアップ
AWS アカウントに S3 バケット、S3 バケットポリシー、KMS キーをデプロイするために必要なリソースを含む CloudFormation テンプレートを提供しています。デプロイの一環として、テンプレートがバケットと鍵とともに自動的にポリシーを作成し、作業するために必要な読み取り/書き込みと暗号化/復号の権限を提供します。テンプレートをデプロイして、テンプレートリソースへのアクセスを提供するだけのため、ほとんどの実装では10分程度でセットアップが完了します。
当社は、ユーザの連絡先情報、スキャンレポート、サマリーデータなどのために別のデータベースを管理していますが、バケットに収集された RAW データはユーザの管理下にあります。セットアップが完了した後、必要なのは、RAW データへのすべての権限を取り消すために「スイッチを押す」だけです。これで、すべてのアクセスが無くなることを知って安心できます。
BYOK と BYOB が利用可能
Aqua CSPM はマルチクラウドの可視性、迅速な修復、企業のスケーラビリティを提供し、パブリッククラウドアカウントの設定問題をスキャン、検証、監視、修復します。また、データをよりコントロールしたいユーザのために、プレミアムプランには「Bring Your Own Key」と「Bring Your Own Bucket」の実装に必要なすべてのものが含まれています。