スポンサー 安全でないデータストレージとコンテナ、企業の機密データの漏洩。 ネットワークポートおよびサービスへの無制限のアクセス。 過剰な権限。 クラウドリソースの設定ミスに関連するリスクは、これほど深刻なものではなく、サイバー犯罪者のためのウェルカムマットを効果的に配置します。
それでも、多くの設定ミスは、パブリッククラウドインフラストラクチャ上でデジタルアプリやサービスを開発および展開している企業によって完全に検出されないままになっています。 検出されない、つまり災害が発生するまで。
パブリッククラウドサービスにおけるアマゾンウェブサービスの市場リーダーの地位を考えると、AWSのデプロイでこれらの設定ミスが多数見られることは驚くことではありません。 しかし、ここで問題となっているのはクラウドの巨人ではない、とクラウドセキュリティスペシャリストのブリッジクルーの最高技術責任者であるバラク・ショスターは主張します。
「AWSエコシステムは非常に堅牢で、会社は素晴らしい仕事をしていますが、顧客がクラウド上に保持するデータのセキュリティは顧客自身の責任であるということは見過ごされがちです」と彼は言います。
これは、AWS Shared ResponsibilityModelによって非常に明確になっています。 「AWSはクラウドのセキュリティに責任を負います。 しかし、クラウドのセキュリティを担当するのは顧客です。 つまり、アプリケーション、ロールベースのアクセス制御、データ共有などを正しく構成し、インフラストラクチャの構成と運用の方法に関してAWSセキュリティのベストプラクティスを常に把握するのはお客様の責任です。」
これは、大きな課題になる可能性があることを彼は認めています。 「クラウドエンジニアリングは難しい場合があります。 これは、IDとアクセス管理のルールを実装し、新しいサービスのベストプラクティスを定義する際に抱える問題について話している、クラウドネイティブ企業との実際の会話からわかります」と彼は言います。
「もうXNUMXつの課題は、本番環境で問題が特定されると、セキュリティチームがコードを作成したエンジニアに詳細をフィードバックして修正するのに時間がかかる可能性があることです。 多くの場合、数日かかることがあるため、代わりに、実際にコードを開発するときに適切なセキュリティ構成を適用するために必要なものをエンジニアに提供する方がはるかに理にかなっています。」検索と修正のミッション。
そのことを念頭に置いて、Bridgecrewは、企業がAWS環境の構成ミスを実行時だけでなく、ビルドプロセスのはるか早い段階で見つけて修正できるよう支援する使命を負っています。 いずれにせよ、Schoster氏によると、目標は単純です。 クラウドセキュリティを自動化し、開発ライフサイクルの早い段階で組み込み、コードとして提供することで、同社のツールはITチームが「インフラストラクチャのセキュリティ保護に費やす時間を減らし、インフラストラクチャのスケーリングに多くの時間を費やす」ことを意味します。
これは、 BridgecrewとさまざまなAWSサービス。 Bridgecrewが会社のAWSアカウントに接続されると、Bridgecrewは、AWS CloudFormationを介して、そのアカウントに読み取り専用のIAMロールをデプロイします。これは、ユーザーが関連するAWSとサードのコレクションを作成できるクラウドとしてのインフラストラクチャ(IaC)サービスです。パーティリソースとそれらを効率的にプロビジョニングおよび管理します。 Schoster氏によると、このIAMの役割は、構成を評価し、AWSの既存および新規のサービスの問題を特定するために、読み取り専用のAPI呼び出しを実行します。
次に、構成の誤りは、タイプ、重大度、セキュリティのベストプラクティスとコンプライアンスに関連するベンチマークの全範囲からの逸脱など、さまざまな方法で分類されます。 これらは、IAM、Kubernetes、ネットワーキング、ロギング、Elasticsearch、S3、サーバーレスなどの分野でのAWSのベストプラクティスだけでなく、顧客の支払いの詳細についてはPCI-DSS 3.2、ヘルスケアのHIPAA、米国を拠点とする連邦情報についてはNIST800-53もカバーしています。システム。 Bridgecrewは現在、ベストプラクティス構成のための約500の事前定義されたポリシーを備えており、Schosterの見積もりでは、IaCスキャナーであるCheckovを含む多くのBridgecrewツールに貢献しているオープンソースコミュニティのおかげで、その数は常に増え続けています。
これは決して一回限りの作業ではない、と彼は付け加えた。 Bridgecrewは、AWSアカウントに接続すると、このようなスキャンを定期的に実行し続け、「クラウドセキュリティドリフト」と呼ばれるものを防ぎます。これは、更新と改善が絶え間なく続く動的なクラウド環境でよく発生します。
また、ランタイム環境での作業はそこで終わりません。 Bridgecrewは、AWSの多くの設定ミスの自動修復も提供できます。 「これは、すでに十分な作業に直面している多くのエンジニアリングチームにとって大きな助けであり、これらの修正に取り組む負担をかけることができます。さらに別のJIRAチケットを山に追加する必要はありません」と彼は言います。
検索して修正する
ブリッジクルーについてSchosterを本当に興奮させているのは、エンジニアの考え方や作業方法に特に合わせていることです。同じ「検索と修正」アプローチを実現するために、テクノロジーをコードリポジトリと統合する方法でこれほど明白なことはありません。本番環境に入るかなり前にコーディングします。 Bridgecrewは、AWSだけでなく、AzureとGoogle Cloud、およびAWSエコシステム外の複数のツールとフレームワークをサポートしています。 これらには、Terraform、大きなIaCフレームワーク、GitHub、GitLab、BitbucketなどのSCM / VCS、CircleCIやJenkinsなどのCI / CDプロバイダーが含まれます。
元の開発者が開発するコードのセキュリティを担当するこのプロセスは、一般に「セキュリティを左にシフトする」と呼ばれますが、頻繁に話題になりますが、多くのITチームは実践するのが難しいとSchoster氏は言います。
「同時に、チームが達成したい種類の迅速な開発と展開をサポートし、害の可能性すらなくなる前に設定ミスをキャッチするという点で、非常に価値があることがわかりました」と彼は言います。 「つまり、私たちのアイデアは、開発者がクラウドインフラストラクチャコードに加えるすべての変更について、テストスイートの一部としてBridgecrewを実行し、問題をスキャンしてトラックの問題を停止し、CI / CDでフラグを立てることです。パイプライン。 事実上、予防は治癒よりも好ましい。
さらに、ビルド時に欠落している構成ルールまたはIaCテンプレートとモジュールの誤った値を少し変更することで、一般的なセキュリティポリシーを適用することにより、IaCの構成ミスを修正することで、将来の展開をスピードアップできます。 「そして、それは今後のセキュリティ体制に前向きで永続的な影響を与える可能性があります。」
AWSでは、保存時にS3バケット暗号化を関連するバケットに設定して、それに追加される後続のすべてのデータが自動的に暗号化されるようにすることが含まれる場合があります。 これは、AWS Key Management Service(KMS)の自動キーローテーションを調整して、暗号化と復号化に使用されるキーがより定期的に更新されるようにすることを意味する場合があります。 これには、Amazon DynamoDBのポイントインタイムリカバリ(PITR)の有効化が含まれる場合があります。
「これは、XNUMX日に何百ものコミットがある開発環境で作業していて、それぞれを精査したい場合に特に当てはまります。 チームが必要な変更についてアラートを受け取るのが早ければ早いほど、フィードバックループが改善され、組織のオーバーヘッドが少なくなるため、ここで私たちの強みを発揮しています」とSchoster氏は言います。
「私自身がセキュリティの専門家であるため、関連する課題を過小評価することはありません。 そして、朝のコーヒーで毎日更新について読んだり、最新の変更について職場で会話したり、子供を寝かせた直後に再度チェックインしたりしているにもかかわらず、AWSについていくのは難しいと感じています。 AWSセキュリティのベストプラクティスを最新の状態に保つには多くの作業が必要ですが、Bridgecrewの優れている点は、何百ものポリシーやプレイブックに豊富な経験があり、すばらしいオープンソースコミュニティが私たちを支援してくれることです。 」
Bridgecrewが後援
出典:https://go.theregister.com/feed/www.theregister.com/2020/11/02/aws_best_security_practices/
