組織はクラウドに潜んでいる人物を把握する必要がある

組織はクラウドに潜んでいる人物を把握する必要がある

ほとんどの組織は、ユーザーがクラウド コンピューティング環境で何ができるかを完全に理解していません。誰が他人になりすまして権限を昇格できるか、どのような権限が利用可能かはわかりません。洞察力の欠如により、組織のビジネスが危険にさらされる可能性があります。

Netskope の上級セキュリティ研究者である Colin Estep 氏は、約 1 年前に Google Cloud Platform の潜在的なセキュリティ脆弱性の調査を始めました。彼は、組織がどのようにして完全なアイデンティティおよびアクセス管理 (IAM) 侵害を評価できるかを理解して、「クラウド環境でユーザーが何ができるか知っていますか?」という質問に答えられるようにしようとしました。

[[356305]]

「私はクラウドプラットフォーム全般に非常に興味を持っています」とエステップ氏は語った。 「そして私は、誰も答えられないような本当に基本的な質問をしました。多くの人は『いや、すべてのユーザーが何ができるかはわかりません。完全な機能が何なのかはわかりません』と言っていました。」

同氏は、クラウドにおけるアイデンティティおよびアクセス管理 (IAM) に関する一般的な問題は、クラウド コンピューティング環境の動的な性質から生じていると述べました。絶えず変化するリソース、出現する新しいサービス、クラウド コンピューティング テクノロジの急速な発展により、組織がこれらの新しいサービスの内容、その仕組み、クラウド内のさまざまなリソースに対する権限の意味を把握することが困難になっています。

「それは単なる懸念事項だ」とエステップ氏は説明した。 「認証は、本当に重要な領域の 1 つです。アイデンティティおよびアクセス管理 (IAM) ソリューションがなければ、機密データが漏洩したり、リソースが悪用または削除される可能性があります。クラウド環境では、あらゆることが起こる可能性があります。」

Netskope はこれまで AWS クラウド プラットフォームを使用してきましたが、顧客の需要増加に対応するために Google Cloud Platform の使用を開始しました。 Estep 氏は、Google Cloud Platform が AWS とは構造や従業員の権限付与方法が異なる興味深いプラットフォームであると感じました。

彼は次のように説明した。「Google Cloud Platform はレイアウトを設計する際に、問題についてより深く考えているように感じます。クラウド環境には階層があり、ユーザーはこの階層内で権限を割り当てることができます。」 Google Cloud Platform には「拒否」ポリシーも設定されていません。 Google Cloud Platform は権限ポリシーを簡素化しようとしていますが、管理者が何が起きているのか把握するためにさまざまなレイヤーをまとめる必要がある場合、状況が複雑になる可能性があると Estep 氏は述べています。

これが、彼が Google Cloud Platform に研究の焦点を当てることにした理由の 1 つであり、これは、近々開催される Black Hat Europe カンファレンスでの彼の講演「Google Cloud Platform での権限マイニング」のテーマでもあります。

「攻撃者がさらにアクセスを獲得した場合、最悪の事態はどうなるでしょうか?想像もつきません」とエステップ氏は語った。彼は研究の一環として、クラウド コンピューティング環境で従業員にどのような権限を付与するかを組織が学習するための概念実証ツール (PoC) を開発しました。ツールを本番環境で使用したところ、結果は予想よりも悪かった。たとえば、クラウド プラットフォームの所有者は、実際に「シャドー管理者」であるユーザーの数を認識していないことが判明しました。つまり、シャドー管理者は、組織レベルでクラウド コンピューティング環境を完全に制御できるようになるまで権限を昇格できるということです。エステップ氏は、Google Cloud Platform にはクラウド コンピューティング環境の最高レベルである「組織」という概念があり、組織管理レベルの従業員はあらゆるレベルの管理機能を継承すると説明しました。

「これらの権限を取得した従業員は、クラウドにアクセスし、ログを変更し、リソースを作成し、データを削除し、すべてのデータにアクセスし、自分自身にユーザーを追加することができます。環境全体を削除すること以外はすべて実行できます」と同氏は述べた。

誰がどの権限を持っているかを理解することで、組織はデータ侵害やその他のセキュリティ インシデントが発生する前にリスクを排除できます。

サービス主導の複雑さにより可視性が低下する

エステップ氏は、Google はこの問題に注目しており、認証と承認に関しては優れた仕事をしていると指摘した。しかし、クラウド コンピューティング プロバイダーに広く見られる問題は、提供するサービスが増えると複雑さが増すということです。多くのクラウド コンピューティング プロバイダーは、顧客向けのプロセスを簡素化するのではなく、より多くのサービスを作成し、何らかの方法で複雑さを回避しています。

彼は、権限が特定の状況または組織の特定の部分でのみ使用できることを規定する追加の制御を促進します。ただし、これらのコントロールは異なるサービスに属している可能性があるため、通常の権限を超えています。これにより、管理者がユーザーの権限を照会して、ユーザーがアクセスできる内容を確認する際に問題が発生します。

「こうした外部からのコントロールが何らかの影響を与えているため、これがすべてではない」とエステップ氏は説明した。 「これらは Google Cloud Platform に固有の問題ではなく、複雑さを増しています。さらにイライラするのは、ユーザーとしてこれを考慮に入れなければならないのに、おそらくユーザーはこれらの問題の存在を知らないということです。」

焦点となるソリューション

Estep 氏は、Google Cloud Platform には多くの階層と権限があると指摘しました。これを理解するには、管理者はすべてのレイヤーを同時に表示する必要がありますが、コンソールでそれを行うのは困難です。このソリューションは、メンバー、Google Cloud Platform 環境構造、サービス アカウントに付与される権限を計画する簡単な方法を組織に提供するように設計されています。

「このプロジェクトはPoCとして始まった。そこで私は、『すべてのユーザーが何ができるかを知ることはできるか』という疑問に答えられるかどうかを確認したかった」と彼は語った。 Netskope が開発し、BHEU でリリースされるソリューションは、ユーザーとその権限を調べて、どのサービス アカウントが偽装される可能性があるかを把握できます。

このソリューションでは、グラフを使用してエンティティと関係をマッピングし、管理者が Google Cloud Platform ユーザーに付与されている権限を確認できるようにします。 API 呼び出しによって関連データが取得されると、管理者が必要とする情報がわかりやすい形でチャートに表示されます。 Estep 氏は当初グラフを使用するつもりはなかったのですが、これは同時に多くの異なるレイヤーを考慮するのに最適な方法です。

エステップ氏は、他のサービスを考慮せずに可視性の問題を解決するこのアプローチは未熟だが、将来的にはそのような機能を統合したいと考えていると述べた。

「まずすべての権限を集約し、それから追加していくことができます」と彼は語った。

<<:  Kafka のバイナリ検索アルゴリズムの改善

>>:  企業がクラウドプラットフォームを安全に運用するための5つの重要な要素

推薦する

Google Cloudは、クラウドコンピューティング使用時の二酸化炭素排出量をユーザーに表示します

10月14日、海外メディアの報道によると、Google Cloudは最近、クラウドコンピューティング...

新しいブランドマーケティングのための3つのコミュニケーション手法!

インターネット時代では、消費者の意思決定パターンは大きく変化しており、実際にどのコミュニケーション方...

アント・ファイナンシャル・テクノロジー:2つの大きな発表、強さの開放

[51CTO.com オリジナル記事] 銀行に本当に必要なアプリはいくつあるのでしょうか?銀行は数多...

5Gとエッジコンピューティング:エネルギー管理の革命

5Gとエッジコンピューティングがエネルギー管理にどのような革命をもたらすかを学ぶ5G とエッジ コン...

Pacificrack: 春祭り VPS プロモーション概要、年間 8 ドル、Windows と無制限のトラフィック付き

Pacificrack は 12 月中旬から旧正月と春節のプロモーションを開始しました。新しい VP...

Liu Xin: OpenStack が存在しなかった時代に、Pingao Cloud は何をしていたのでしょうか?

「2008 年に (Pingao Cloud) の開発を開始したときに OpenStack が存在し...

インポートしたリンクの影響を深めてウェブサイトの権威を高める方法

ウェブサイトの被リンクは、ショッピングモールの人の流れのようなものです。人が入れば入るほど、ビジネス...

2014 年にウェブサイトを最適化する方法はどこにあるのでしょうか?

SEO が始まったばかりの頃は、時間の問題でした。どんなウェブサイトでも、一定の時間を投資し (時間...

5G時代、クラウドエッジ連携が急速に発展し、九洲クラウドはハイブリッドクラウドを包括的に展開

[51CTO.comからのオリジナル記事] 5Gの登場により、モノのインターネット、自動運転車、AR...

ion: サンノゼ cn2 gia VPS、厳格な管理、大規模なデータセンターの承認、信頼できる品質、月額 35 ドルから

Krypt傘下のVPSブランドであるionが、サンノゼデータセンターのVPSにcn2 gia回線のア...

反百度連合の最初の行動の記録

今日の百度広告をクリックした約 1,000 人のウェブマスターの行動を記録します。仕事が終わって家に...

ウェブサイトはオンラインです。ウェブサイトの運用に必要な3つの側面

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています昨今、誰も...

ロサンゼルスのdedicated.com専用サーバーの簡単なレビュー

現在のdedicated.comは、実はサーバー業者usdedicated.comが数年前に開設した...

怖い!真夜中に、このプログラムは仮想マシンから実行されなくなりました。

[[359189]]罠に落ちる暗く風の強い夜、招かれざる客の二人は再び新たな地へとやって来た。 「次...

質問回答サイトQuoraは、評価額4億ドルで5000万ドルを調達する予定であると報じられている。

Quoraは現在従業員が30人しかいないが、評価額は4億ドルに達している。新浪科技報、北京時間4月2...