fbpx

クラウド内のユーザーIDを保護するためにすべてのCISOが知っておくべき6つのこと

パブリッククラウドは優れたビジネスイネーブラーでしたが、ユーザーアクセスに関連する多数の盲点を作成し、深刻なセキュリティ上の課題をもたらしました。SaaSアプリとIaaSサービスの数と種類が指数関数的に増加し続けるにつれて、ユーザー特権、リソース権限セット、アプリ機能、およびリスクの管理がますます困難になっています。

したがって、承認は、もはや便利な機能ではなく、必須です。IDaaSによりユーザーIDの権限を明確に定義し、慎重に検証する必要があります。組織の攻撃対象領域を減らすために未使用の権限を排除し、過剰にプロビジョニングされたユーザーを特定し、適切なサイズの権限を付与する必要があります。そうしないと、データ漏洩とクラウドアカウントの侵害の結果は悲惨なものになり、多くの場合元に戻せません。

機密性の高いクラウド情報へのアクセスを制御するための5つのヒントを紹介します。

ヒント#1:クラウドインフラストラクチャを理解する

どのユーザーが何にアクセスできるか、およびその理由を把握します。

クラウド環境では、強力な特権を定義することがさらに重要です。エンティティ、マシン、またはストレージスペースにはそれぞれ固有の目的があり、サービス間の通信は必要性と用途に応じて行う必要があります。各リソースの境界を設定すると、奇妙なアクティビティの監視や変更へのアクセスがはるかに簡単になります。

火を消すのではなく、必然的な活動に集中することができます。さらに、各仮想サービスまたはユーザーごとに、特定のアクセス許可を持つ目的を割り当てて、気付かれないデータ漏洩のリスクを軽減します。クラウド環境を設計する最初のステップは、常に各コンポーネントの役割を定義することです。これにより、将来的にコンポーネントを拡張するときに、コンポーネントを安全に保つことができます。

ヒント#2:最小特権の原則を適用する

アクセス許可を役割に委任します。各許可は、必要なリソースへのアクセスのみを許可します。

オンプレミス環境と同じように、権限が多すぎるユーザーを特定します。機密情報にアクセスできるエンティティの数を減らすと、それらを監視し、クラウドネットワークの異常な動作や新しい動作を特定するのが簡単になります。

管理者からの資格情報の盗難からであれ、Web アプリケーションのゼロデイ脆弱性からであれ、どこから侵害が始まるのかは決してわからないので、機密データを誰の手に渡すかを慎重に選択してください。

ヒント#3:より良いセキュリティ衛生のための適切なサイズのユーザー権限

不要または未使用の権限を定期的に削除します。

時間の経過とともに、SaaSユーザーは、増え続ける変化する同僚や請負業者のグループと共有して共同作業を行うにつれて、ますます多くの特権が蓄積されます。これらの特権の多くは、組織内での役割には不適切であり、職務を遂行するために不必要であるか、放棄されるか使用されません。

さらに、IaaSサービスの特権ユーザーおよび管理者は、許可されていない非管理者関連のアクティビティに対して管理者特権を乱用する可能性があるため、監視するか、そうでなければ特権を制限する必要があります。

その結果、データ損失やアカウントの乗っ取りが原因で、組織が金銭的または評判の漏えいのリスクが高くなるユーザーにとって、爆発範囲が拡大します。ベストプラクティスでは、ITチームがIaaSおよびSaaS サービス全体、および管理者と非特権ユーザーの両方について、各ユーザーの権限を定期的に監視して適切なサイズにすることが要求されます。

このような監視と適切なサイジングは、会社を辞め、権限を完全に取り消す必要がある、または組織外でビジネスの重要なリソースを再共有する必要があり、権限は厳しく制限されています。

ヒント#4:リソースを分離する

クラウドは、世界中で事実上無制限のストレージスペースを提供します。これを使ってください。

プロキシサーバーをデータベースと同じマシンまたはオンプレミスのコードベースに配置しない場合と同様に、すべてのデータを同じストレージまたはクラウド内の権限セットに配置しないでください。たとえば、AWSのバケットへのアクセスがロールごとである場合、Webアプリケーション、ログ、および機密データ用に個別のバケットを作成し、それぞれにアクセスするための個別のロールを作成します。

Boxでフォルダーへのアクセスが委任されている場合は、情報を別のフォルダーに分離して、誤って間違ったディレクトリに分類されないようにします。機密データを含むWebアプリケーションとデータベースを実行している場合は、各サーバーとアプリに必要な権限のみを与えます。

ヒント#5:組織内のすべてのエンティティを管理する

クラウド環境でセキュリティガイドラインを実装および維持する方法を定義します。

クラウドは動的な環境であり、ユーザーはポジションやジョブを頻繁に切り替えます。クラウドセキュリティガイドラインが変更され、新しい要件やアプリがインフラストラクチャに導入される場合があります。

環境内のすべてのリソースの多くの役割と権限を管理することは混乱を招く可能性があります。

アクセス許可セットの管理に役立つプラットフォームを探してください。また、ニーズやクラウドネットワークに応じて拡張できるプラットフォームを探してください。また、SaaSとIaaSの両方のクラウドサービスのすべてまたは大部分をカバーするものを探して、クラウドでエンドツーエンドのセキュリティを確保しながらビジネスの成長に集中できるようにします。

ヒント#6:あなたのインフラストラクチャを最新に保つ

ビジネスが成長し、製品が改善するのと同じように、パブリッククラウドプロバイダーはインフラストラクチャを更新し、セキュリティツールを拡張します。

クラウドプロバイダーのセキュリティガイドラインの変更を順守し、提供する最も強力なセキュリティツールセットにアップグレードするようにしてください。インフラストラクチャが可能な限り強力であることを知っていると、安心して眠りやすくなります。

そして、これは時間の経過とともに良くなり、簡単になるだけです。 今日のパブリッククラウドでは、最新のサーバー、ストレージ、アプリに簡単にアップグレードでき、最新のセキュリティのベストプラクティスを最新に保つことができます。

最終的な考え

クラウドインフラストラクチャを計画するときは、クラウドプロバイダーが提供するアクセス制御とそのセキュリティガイドラインに注意してください。最低特権の原則モデルを適用し、この原則に基づいてインフラストラクチャ内の各エンティティの権限を定義します。組織の外部からでも内部からでも、攻撃者がどのようにしてクラウドサービスの機密情報にアクセスし、それらの領域を監視できるかを特定します。これにより、新しいポジションやクラウドアプリが組織に導入されたり、クラウドセキュリティのベストプラクティスが変更されたり、クラウドプロバイダーが新しいセキュリティツールを公開したりするたびに、アクセスと権限の定義を更新することに集中できます。

作成したセキュリティガイドラインを管理するための戦略を確立して初めて、破壊的な構成ミスのリスクを低減しながら、この動的な世界に適応できるようになります。

 

SNSでもご購読できます。

コメントを残す

*