マルチクラウドでマシンIDを保護する5つのテクニック

[[423604]]

[51CTO.com クイック翻訳]今日、クラウド コンピューティング アプリケーションを通じてデジタル変革を実現するために自動化テクノロジーを採用する組織が増えており、それに伴いマシン ID (ID) の数も急増しています。

実際、現在、マシン ID (ID) の数は、人間のユーザー ID の数の 3 倍以上になっています。マシン ID を使用すると、タスクを迅速かつエラーなく完了できるため生産性が向上しますが、マシン ID が (さまざまなクラウド アプリケーション間で) 広く採用されると、組織が可視性を獲得し、最小権限アクセスを適用することが難しくなります。そのため、マルチクラウドでマシン ID を保護し、シークレット ガバナンスを実施することが重要です。そうしないと、組織の攻撃対象領域が拡大し、業務運営に影響が及ぶことになります。

マルチクラウド環境では、組織は、スクリプトの実行から脆弱性の修正まで、さまざまなタスクを実行するために過剰な権限を与えられたマシン ID に依存しています。これは、マシン ID が人間よりも高速で、コスト効率が高く、ミスがはるかに少ないためです。

クラウド プラットフォームでの自動化テクノロジーの普及により、マシン ID の数は急増しました。問題なのは、多くの場合、これらの ID と権限が静的であり、場合によってはアプリケーションにハードコードされているため、置き換えることのできない不要で古い長期的な権限が存在することです。

多数のクラウド コンピューティング環境に分散された多数のデバイスにより、サービス アカウント、ロボット、ロボット プロセスが急増しています。これらには、より一貫したアクセス、権限情報の継続的な交換が必要であり、ほとんどの場合、人間による監視から独立しています。さらに、ID が自律的かつ自動化されたプロセスに組み込まれるようになるにつれて、ID は高度な責任を負うようになることがよくあります。

マシン ID の増加により、どの権限が、どのくらいの頻度で、どのような状況で使用されているかを把握することが重要となり、組織のセキュリティ チームは監視と管理の取り組みを強化するようになりました。

組織がマルチクラウド プラットフォーム全体で自動化のメリットを最大限に活用したい場合、ID とアクセスを適切に管理することが不可欠です。これは、猛スピードで製品を構築して提供することを仕事とする CloudOps チームに特に当てはまります。組織のタスクが自動化によって急速に進化するにつれて、CloudOps チームは生産が遅くならないように懸命に取り組む必要があります。その結果、動的アプリケーション テストなどの新しいタスクに対して新しい ID が作成されますが、これにより管理の可視性とユーザーの責任が混乱する可能性があります。

アクセスを許可する場合、オンプレミスでは十分な権限があるかもしれませんが、クラウド プラットフォーム間で運用するために必要な自動化された特権アクセス管理機能が不足している場合があります。多くの場合、組織はクラウド内のマシン ID に関連する重大なリスクを認識していません。マシン ID 間の過剰な権限アクセスが蔓延し、管理されていない場合、組織の攻撃対象領域とリスクが拡大します。したがって、サイバー攻撃者が過剰な権限を持つマシン ID をハイジャックすると、侵入してランタイム環境全体にアクセスできるようになります。

新しい Cron ジョブ

ロボットによるアクセスは、何十年もの間、コンピュータ化されたプロセスに統合されてきました。その結果、ロボットは反復的なタスクを人間よりも効率的に完了できるようになります。

実際、エンジニアは 1990 年代後半にはすでに Linux サーバー上のマシン ID を使用して、スクリプトの実行やレポートの更新などのバッチ タスクを必要とする Cron ジョブを実行していました。これまで、人間はこうした種類のタスクの実行をロボットに頼ってきました。

問題は、これらのジョブを実行するボットの管理がマルチクラウド環境でははるかに複雑になることです。数千のマシン ID を使用する多数のクラウド全体にわたる可視性と制御が欠如しています。 ID はクラウド ビルダーによって設定されるため、セキュリティ チームはどの ID がどのジョブを実行するかを把握できない場合があります。ボットは、基本的な権限を削除して業務を妨害する可能性を排除するのではなく、権限を取得し、組織をさらなるリスクにさらし続けます。

行動の観点から見ると、マシン ID に関連付けられたアクティビティを予測するのは難しい場合があります。結局のところ、ロボットは時折ランダムな動作を示し、通常の範囲を超えたタスクを完了します。しかし、セキュリティ担当者がユーザー ID 権限を監査すると、必要な場合も不要な場合もある、理解しがたい ID のリストが見つかります。

これは危険な停滞につながる可能性があります。アクセス権が不明なマシン ID が多数存在する (人間の介入なしに実行される) と、脅威の状況が増大します。

可視性を高める

組織は、すべてのクラウド プラットフォーム (IaaS、DaaS、PaaS、SaaS) にわたる可視性を獲得し、マシン ID によるアクセスを制御するように努める必要があります。理想的には、単一の管理パネルを通じて権限を付与および取り消すことです。

権限に関しては、チームはマシン ID を人間と同じように扱い、ゼロ永続権限 (ZSP) ポリシーを採用する必要があります。 ZSP はマルチクラウド セキュリティのベースラインであり、静的な権限を排除し、過剰な権限を持つアカウントを取り消し、古くなったアカウントや無関係なアカウントを排除することを意味します。

これは複雑で困難な作業のように聞こえるかもしれませんが、クラウド コンピューティング環境を保護するために必要なステップです。幸いなことに、業務を中断することなく組織の可視性と制御性を高めるのに役立つソリューションが存在します。

マルチクラウド環境で特権マシン ID のリスクを軽減する 5 つのテクニック

（１）すべてのユーザー（人間と非人間）に対してジャストインタイム（JIT）アクセスを使用する

ユーザー ID とマシン ID は、セッションまたはタスクの期間中、設定された時間制限の間、またはユーザーが手動で再プロファイリングされるまで、特定のクラウド サービスに対するロールベースの昇格された権限プロファイルをすばやくチェックアウトできます。タスクが完了すると、これらの権限は自動的に取り消されます。

（２）ゼロパーシステントパーミッション（ZSP）を維持する

権限を動的に追加および削除することで、組織の CloudOps チームはゼロ永続権限 (ZSP) のセキュリティ体制を維持できます。これはゼロ トラストの概念に基づいています。つまり、デフォルトでは、いかなる人物や物も信頼されず、組織のクラウド アカウントやデータに長期的にアクセスすることはできません。

（３）集中化・拡張化された権利管理

静的 ID を使用する場合、無秩序な増加を最小限に抑えることが重要な課題であり、現在多くの CloudOps チームは Excel スプレッドシートを使用して ID と権限を手動で管理することに苦労しています。集中化された構成により、複数のクラウドにわたってこのプロセスを自動化できるため、アカウントとデータに対するリスクが大幅に軽減されます。

（4）高度なデータ分析（ADA）による統合アクセス可視性の実現

Advanced Data Analytics (ADA) を使用すると、チームは単一の画面でマルチクラウド運用環境を監視できます。この機能により、各組織に固有のアクセスの問題が特定され、何千ものユーザー ID の管理を担当するチームの可視性と信頼性が向上します。

（５）継続的インテグレーション（CI）/継続的デリバリー（CD）プロセスに機密性ガバナンスを組み込む

組織は JIT 権限を即座に付与および取り消すことができるため、CloudOps チームが一時的なサービスを開始する必要がある場合に最適です。ポリシーによって呼び出される共有シークレットのローテーションを自動化し、オンボーディングとオフボーディングのプロセスを保護して合理化します。

可視性が制限されると、セキュリティ チームの能力が低下し、セキュリティ管理がより複雑になります。過剰な特権アクセスを持つマシン ID の数が多いということは、組織がマルチクラウド環境のセキュリティを確保する上で大きな課題に直面することを意味します。

しかし、特権アカウントのユーザーとその権限を定義し、不要なアクセスを削除し、ジャストインタイムの特権アクセスを適用することで、組織はマルチクラウド環境のセキュリティを確保し、自動化されたプロセスを効果的に展開できます。

クラウド プラットフォームで使用されるマシン ID の数は誰にもわかりませんが、その数は急速に増加しています。この成長の加速は、ビジネス運営の改善を示していますが、組織が動的かつ強力なセキュリティ ソリューションを備える必要があることも示しています。

マルチクラウド環境で運用するチームは、運用を中断することなくクロスクラウド カバレッジを提供できるセキュリティ パートナーと連携する必要があります。これは、重要なインフラストラクチャの安全性と機能性を維持するために不可欠です。

原題: マルチクラウドでのマシン ID の保護: 5 つのテクニック、著者: Art Poghosyan

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。