THE COMPLETE CLOUD OPERATIONS SECURITY BLUEPRINT(Part-1)
完全なクラウド運用セキュリティブループリント(第一章)
完全なクラウド運用セキュリティブループリントについての記事です。今回の記事は5回に分けて投稿します。第一回目の今回は、perimeterでのセキュリティやファイヤフォールについてです。
Introduction
最近では、サイバーセキュリティという問題において、ほとんどの企業で最も重要な議題とされています。もし、これについて全く議論されていない企業はすぐに取り組むべきです。現代社会は、厄介なセキュリティ侵害が毎週発生しているような大変な時代です。企業はサイバー攻撃対策に莫大な経費をかけています。世界中のデータ攻撃に対して平均386万ドルもの費用をかけていますし、またそれに対応するヒトも雇用しなければいけません。かつて世界で信頼されていたブランドの多くも風評被害で悩まされています。
ますます、クラウドセキュリティは注目を浴びるでしょう。具体的には、クラウドで実行されている運用システムとアプリケーションのセキュリティです。データはどの企業にとっても最も価値のある資産であるため、セキュリティ対策はDevOpsエンジニアの肩にかかっている重要な役割りです。
しかし、今日の絶え間なく変化し、高度分散型の世界において、すべてのベースを維持し、カバーすることは大きな課題となります。 一体、どこから始めたらよいのでしょうか?また開発と展開のペースを落とすことなく、ベストプラクティスのセキュリティをどのように確立できるのでしょうか?
SECURING FROM WITHIN AND WITHOUT
本番アプリケーションを効果的にセキュアにしようとする際に考慮すべきことは、たくさんあります。perimeterセキュリティから自然に始まる方がほとんどだと思います。perimeterセキュリティというのは、環境に侵入してくる悪質な攻撃者(アクター)と悪質なアクティビティから保護し、ツールとプロセスが適切に機能していることを監視します。perimeter部のセキュリティはこの設計図でレビューされます(最近の環境のほとんどは実際、ハイブリッドであり、厳密にはクラウドやオンプレミスではありません)。しかしながら、クラウドは重要である一方で、perimeterの概念を実際に変更し、単一のネットワークperimeterへの制限をすることができなくなり、設定もされなくなりました。そのため、現在では、運用システムやユーザー向けアプリケーションへのアクセスの制御や監視などを含むいくつかの方法でアタック・サーフェス(攻撃対象領域)を実際に制限しようとしています。
これらのプラクティスの最も厳格なものでさえ、故障して不要なアクティビティを許可することがかなり頻繁にあります。そのため、モダンアプリケーションにとっては、内部から本番システムをセキュアにすることはとても重要なことです。アプリケーション層自体での脆弱性管理から始まり、エンドポイントの保護、ネットワークとデータのフローの保護、および他のすべてに障害が発生した場合の障害復旧計画の作成なども必要になってきます。
インストール、制御、監視するのは非常に大変で、ほとんどのチームが、すべてを管理するにはある程度のオーケストレーションが必要だと感じています。 また、セキュリティに関しては多くの解決策がありますが、あらゆる面において何かを導入することは実用的ではありません。 対処すべき重要な領域は、アクセス、監査、ネットワーク、およびエンドポイントのセキュリティです。強力なセキュリティチームは、使用するツールをすべての可視性を提供するものと統合することができます。多くのツールからのデータを相互に関連付けて、セキュリティ状況の広範かつ詳細なビューを取得し、異常や潜在的なセキュリティインシデントを検出し、それらの防止に積極的に取り組むことが非常に重要なことです。
それでは、最も重要な対策である監視するデータや、効果的なCloud Security Operations strategy(クラウドセキュリティオペレーション戦略)に使用するツールについて詳しく見ていきましょう。
SECURITY AT THE “PERIMETER”
まず、ネットワークを出入りするトラフィックフローを制御および監視し、「perimeterフェンス」を構築して悪意のあるアクティビティがないことを確認することが大切です。 クラウドでは、システムとソフトウェアが分散されているため、perimeterの概念を定義するのはとても困難です。 そのため、ベストプラクティスでは、アタックサーフェス(攻撃対象領域)自体を制限し、補完的な防御メカニズムの階層化アプローチを実装することをおすすめしいています。
Firewalls
このベースライン(そしておそらく最も古いもの)の技術は、潜在的に不具合をもたらす可能性のあるトラフィックを除外するファイアウォールです。 ファイアウォールは、ネットワーク上の許容タイプとトラフィックのソースを定義する一連のルールに基づいてフィルタリングします。 従来のファイアウォールには、エンタープライズネットワークとそのユーザーを保護する機能がありました。 それらの機能を実装することは重要ですが、クラウドの開発により、分散された運用システムのセキュリティ保護に焦点を当てた次世代の新しいセットとWebアプリケーションファイアウォールが生まれました。
この新しいファイアウォールは、クラウドサーバーを悪質なトラフィックや攻撃から保護するだけでなく、他のサーバーからも保護してくれます。 ほぼすべての主要なファイアウォールブランド( F5 networks, Check Point, Cisco, Cloudflare, Zscale)は、優れた次世代ファイアウォールを持っています。 もちろん、ほとんどのクラウドプロバイダー自体が、かなり強靭な機能を備えたファイアウォールサービスを提供しています。AWS WAF, Azure WAF、 Google Cloud Armorもとても便利です。
Intrusion Detection/Prevention Systems (IDS/IPS)
ファイアウォールに加え、ファイアウォールを通過した疑わしいトラフィックを検出する不正侵入検知・防御システム(IDS / IPS)をデプロイしている組織もあります。不正侵入検知(ID)は、ネットワーク内のイベントを監視し、潜在的な脅威またはセキュリティポリシーの違反のパケットをスキャンしたり、検査したりします。
IPSシステムは、この情報に対してアクションを起こす責任がある人に警告します。不正侵入検知(ID)は、ネットワークへのアクセスを制御することで発生する攻撃を実際にブロックすることにより、さらにより便利な機能となっています。また、同様の攻撃に見える将来の攻撃に備えて、ルールをファイアウォールに書き込むなど、攻撃を予防的に防止するための手順を事前に実行します。
IDS / IPSシステムにはいくつかの種類があります。 ホストベースのIDS(HIDS)は、一般的なオープンソースOSSECと同様に、ネットワーク自体のトラフィックではなく、ネットワーク上のマシンで発生するイベントそのものを調べます。 ネットワークベースのIDS(NIDS)は、パケット自体を分析して、ネットワークで何が起こっているかを把握します。Snort, Suricata, Zeek (従来の名称は「Bro」)は、最も人気のある強力なツールであり、すべてオープンソースツールです。
詳しくはこちらをご一読ください。
Orangesys.ioでは、kuberneteの運用、DevOps、監視のお手伝いをさせていただいています。ぜひ私たちにおまかせください。
