fbpx

ビジネスを危険にさらしているクラウド内の4 つの人間以外のエンティティ

クラウドサービスを連携させるエンティティもセキュリティリスクをもたらします。ここに検討する価値がある4つがあります。

今日の平均的な規模の企業では、従業員は何百もの異なるクラウドサービスを使用しています。これらのアプリはすべて、API、ロール、権限の委任を使用して互いに統合し、クラウド内のワークフローをできるだけ直感的かつ効率的にします。その過程で、データの共有と公開が簡単になります。そのため、SecOpsは通常、誤ってまたは意図的にデータを公​​開し、結果としてIDを盗まれる可能性がある人間のユーザーに焦点を当てています。

しかし、これらの統合を可能にするためにバックグラウンドで機能し、通常は気付かれないようにする役割など、多くの「人間以外の」エンティティがあります。ここでは、クラウド環境で常に綿密に監視する必要がある上位の役割を4つ示します。

エンティティ#1:SaaSロール

クラウドの最も優れた機能の1つは、さまざまなサービス間での統合がいかに簡単であるかです。これにより、ITからの労力を最小限に抑えて、企業のあらゆる部門で効率的なワークフローを実現するための理想的な環境を作成できます。

通常、アプリはサービスアカウントを使用して互いに統合されます。サービスアカウントは、クラウドサービスとの対話方法が人間のユーザーアカウントとは異なります。サービスアカウントは、ウェブインターフェースではなくAPIを使用し、その役割を引き受けて、別のユーザーのコンテキストに基づいて情報にアクセスします。ユーザーログインの副産物として認証されるか、トークンを使用して認証を完全にバイパスします。

これらは、クラウドネットワークで最も一般的な人間以外のエンティティです。小さな人気のあるアプリは、攻撃の主な標的の1つであり、注意深く監視する必要があります。

ハッカーは、1つのクラウドアプリケーションを危険にさらして、他のサービスで再利用された可能性のあるパスワードを盗んだり、既存の統合を使用して別のアプリケーションにアクセスしたりする可能性があります。たとえば、2018年には、ノートコラボレーションプラットフォームであるEvernote がハッキングされ、ユーザーにパスワードを要求するフィッシングメールを送信しました。2015年には、パスワードを保存する企業であるLastPassがハッキングされ、ユーザーのパスワードが公開されました。

エンティティ#2:セキュリティ自動化の役割

いくつかの注目すべきタイプのSaaSロールは、IDaaSCASB、SIEMなどのセキュリティ自動化を実行します。

IDaaSをクラウドの境界コントロールと考えてください。各クラウドアプリでの権限はごくわずかですが、IDaaSでグループとロールを管理する場合は、ユーザーを作成してポリシーを割り当てるための権限を付与する必要があります。ハッキングされると、IDaaSは、クラウドインフラストラクチャへのバックドアとして機能する特権エンティティを作成できます。これは、OneLoginが2017年にハッキングされて、何千もの企業のセキュリティを危険にさらす可能性があったときに、注目すべき問題となりました。

CASBはクラウドのセキュリティラインとして機能します。クラウドに到達する前にすべてのパケットとAPI呼び出しを検査し、奇妙なAPI呼び出しから保護します。

CASBは、攻撃が発生した場合のロールバックサポートも提供します。CASBはプロキシであるため、独自のトークンを持ち、クラウドサービスで多くの管理API呼び出しを実行できます。

IDaaSとCASBはどちらも、ネットワークにおける人間以外の強力なエンティティです。これらは、ログでAPI呼び出しを実行した最初のアクターをマスクしますが、人間のユーザーよりもミスを少なくします。しかし、彼らが行くなら、悪党、攻撃がどのように起こったかを追跡することは非常に難しいでしょう。

管理データへのアクセス権を持つ別の実質的に非表示の人間以外のエンティティは、クラウドからログを読み取って保存するSIEM です。SIEMは、ネットワーク内のすべてのアクティビティに関するメタデータを中心に同じ機能を実行し、常に十分に保護する必要があります。

エンティティ#3:SaaSの役割

PaaSの役割により、すべてのクラウドAPI呼び出しが可能になります。それらは、インフラストラクチャを維持するギアのように機能し、マシンまたはクラスター上に背後にプラットフォーム全体を構築する必要なくイベント駆動型のタスクを実行し、「サーバーレスアプリケーション」の概念を導入します。クラウド内でユーザーまたはロールが割り当てられ、通常は仮想マシンまたは人間と相互に関連して実行されます。

これらのエンティティは、人間やマシンほど頻繁に監視されません。データの削除、アクセス許可の提供、電子メールの送信、シークレットへのアクセスなどの機密タスクを実行するため、コストのかかるミスになる可能性があります。

たとえば2017年には、セキュリティバウンティハンターが、弱いパスワードで保護されていたNPMパッケージの14%にアクセスしました。AWS Lambda関数が使用するパッケージにコード行をプッシュして、Lambdaロールの一時AWS認証情報をリモートサーバーに送信するのは非常に簡単です。リモートサーバーは、それらを使用してバケットを一覧表示し、すべてのコンテンツをダウンロードしようとする可能性があります。

エンティティ#4:IaaSロール

マシンを含むクラウド内のすべてのものはエンティティですが、人間とは異なり、マシンは常にログインしています。マシンがクラウドからのデータにアクセスする必要がある場合、それが外部データベースサービス、ソースコードバージョン管理ソフトウェア、またはストレージプラットフォームでは、APIキーまたはマジックIPアドレスを使用してクラウドAPIにアクセスするために使用できるエンティティが割り当てられます。

通常、マシンが特定の時間に何らかのアクティビティを実行した理由を理解することは困難ですが、すべてのアクティビティは同じソースからのものであるため、そのエンティティのリモートの侵害を簡単に特定できます。にもかかわらずマシンから直接、時々アクセス可能なインターネット、それらのクラウド攻撃の人気ターゲット作り、彼らはまだ人間のユーザーよりもはるかに少ないの注目を受けます。

結論

セキュリティとITチームは、クラウドネットワーク内のすべてのエンティティ(人間と人間以外)、彼らがどのような権限を持ち、使用しているのか、それらがもたらす脅威、およびそれらを識別する方法を認識している必要があります。ITコミュニティとクラウドサービスプロバイダーの両方から、今後このトピックに重点を置き、企業のセキュリティ環境の前提としてゼロトラストネットワークを構築ことを強くお勧めします。

SNSでもご購読できます。

コメントを残す

*