組織はクラウドに潜んでいる人物を把握する必要がある

組織はクラウドに潜んでいる人物を把握する必要がある

ほとんどの組織は、ユーザーがクラウド コンピューティング環境で何ができるかを完全に理解していません。誰が他人になりすまして権限を昇格できるか、どのような権限が利用可能かはわかりません。洞察力の欠如により、組織のビジネスが危険にさらされる可能性があります。

Netskope の上級セキュリティ研究者である Colin Estep 氏は、約 1 年前に Google Cloud Platform の潜在的なセキュリティ脆弱性の調査を始めました。彼は、組織がどのようにして完全なアイデンティティおよびアクセス管理 (IAM) 侵害を評価できるかを理解して、「クラウド環境でユーザーが何ができるか知っていますか?」という質問に答えられるようにしようとしました。

[[356305]]

「私はクラウドプラットフォーム全般に非常に興味を持っています」とエステップ氏は語った。 「そして私は、誰も答えられないような本当に基本的な質問をしました。多くの人は『いや、すべてのユーザーが何ができるかはわかりません。完全な機能が何なのかはわかりません』と言っていました。」

同氏は、クラウドにおけるアイデンティティおよびアクセス管理 (IAM) に関する一般的な問題は、クラウド コンピューティング環境の動的な性質から生じていると述べました。絶えず変化するリソース、出現する新しいサービス、クラウド コンピューティング テクノロジの急速な発展により、組織がこれらの新しいサービスの内容、その仕組み、クラウド内のさまざまなリソースに対する権限の意味を把握することが困難になっています。

「それは単なる懸念事項だ」とエステップ氏は説明した。 「認証は、本当に重要な領域の 1 つです。アイデンティティおよびアクセス管理 (IAM) ソリューションがなければ、機密データが漏洩したり、リソースが悪用または削除される可能性があります。クラウド環境では、あらゆることが起こる可能性があります。」

Netskope はこれまで AWS クラウド プラットフォームを使用してきましたが、顧客の需要増加に対応するために Google Cloud Platform の使用を開始しました。 Estep 氏は、Google Cloud Platform が AWS とは構造や従業員の権限付与方法が異なる興味深いプラットフォームであると感じました。

彼は次のように説明した。「Google Cloud Platform はレイアウトを設計する際に、問題についてより深く考えているように感じます。クラウド環境には階層があり、ユーザーはこの階層内で権限を割り当てることができます。」 Google Cloud Platform には「拒否」ポリシーも設定されていません。 Google Cloud Platform は権限ポリシーを簡素化しようとしていますが、管理者が何が起きているのか把握するためにさまざまなレイヤーをまとめる必要がある場合、状況が複雑になる可能性があると Estep 氏は述べています。

これが、彼が Google Cloud Platform に研究の焦点を当てることにした理由の 1 つであり、これは、近々開催される Black Hat Europe カンファレンスでの彼の講演「Google Cloud Platform での権限マイニング」のテーマでもあります。

「攻撃者がさらにアクセスを獲得した場合、最悪の事態はどうなるでしょうか?想像もつきません」とエステップ氏は語った。彼は研究の一環として、クラウド コンピューティング環境で従業員にどのような権限を付与するかを組織が学習するための概念実証ツール (PoC) を開発しました。ツールを本番環境で使用したところ、結果は予想よりも悪かった。たとえば、クラウド プラットフォームの所有者は、実際に「シャドー管理者」であるユーザーの数を認識していないことが判明しました。つまり、シャドー管理者は、組織レベルでクラウド コンピューティング環境を完全に制御できるようになるまで権限を昇格できるということです。エステップ氏は、Google Cloud Platform にはクラウド コンピューティング環境の最高レベルである「組織」という概念があり、組織管理レベルの従業員はあらゆるレベルの管理機能を継承すると説明しました。

「これらの権限を取得した従業員は、クラウドにアクセスし、ログを変更し、リソースを作成し、データを削除し、すべてのデータにアクセスし、自分自身にユーザーを追加することができます。環境全体を削除すること以外はすべて実行できます」と同氏は述べた。

誰がどの権限を持っているかを理解することで、組織はデータ侵害やその他のセキュリティ インシデントが発生する前にリスクを排除できます。

サービス主導の複雑さにより可視性が低下する

エステップ氏は、Google はこの問題に注目しており、認証と承認に関しては優れた仕事をしていると指摘した。しかし、クラウド コンピューティング プロバイダーに広く見られる問題は、提供するサービスが増えると複雑さが増すということです。多くのクラウド コンピューティング プロバイダーは、顧客向けのプロセスを簡素化するのではなく、より多くのサービスを作成し、何らかの方法で複雑さを回避しています。

彼は、権限が特定の状況または組織の特定の部分でのみ使用できることを規定する追加の制御を促進します。ただし、これらのコントロールは異なるサービスに属している可能性があるため、通常の権限を超えています。これにより、管理者がユーザーの権限を照会して、ユーザーがアクセスできる内容を確認する際に問題が発生します。

「こうした外部からのコントロールが何らかの影響を与えているため、これがすべてではない」とエステップ氏は説明した。 「これらは Google Cloud Platform に固有の問題ではなく、複雑さを増しています。さらにイライラするのは、ユーザーとしてこれを考慮に入れなければならないのに、おそらくユーザーはこれらの問題の存在を知らないということです。」

焦点となるソリューション

Estep 氏は、Google Cloud Platform には多くの階層と権限があると指摘しました。これを理解するには、管理者はすべてのレイヤーを同時に表示する必要がありますが、コンソールでそれを行うのは困難です。このソリューションは、メンバー、Google Cloud Platform 環境構造、サービス アカウントに付与される権限を計画する簡単な方法を組織に提供するように設計されています。

「このプロジェクトはPoCとして始まった。そこで私は、『すべてのユーザーが何ができるかを知ることはできるか』という疑問に答えられるかどうかを確認したかった」と彼は語った。 Netskope が開発し、BHEU でリリースされるソリューションは、ユーザーとその権限を調べて、どのサービス アカウントが偽装される可能性があるかを把握できます。

このソリューションでは、グラフを使用してエンティティと関係をマッピングし、管理者が Google Cloud Platform ユーザーに付与されている権限を確認できるようにします。 API 呼び出しによって関連データが取得されると、管理者が必要とする情報がわかりやすい形でチャートに表示されます。 Estep 氏は当初グラフを使用するつもりはなかったのですが、これは同時に多くの異なるレイヤーを考慮するのに最適な方法です。

エステップ氏は、他のサービスを考慮せずに可視性の問題を解決するこのアプローチは未熟だが、将来的にはそのような機能を統合したいと考えていると述べた。

「まずすべての権限を集約し、それから追加していくことができます」と彼は語った。

<<:  Kafka のバイナリ検索アルゴリズムの改善

>>:  企業がクラウドプラットフォームを安全に運用するための5つの重要な要素

推薦する

9大グループ購入サイトの新状況は満杯、滴滴出行と58団は遅れをとる可能性

2年間の熾烈な競争を経て、共同購入業界の競争は重要な時期を迎えています。今年最初の8か月間の主要共同...

レンタカー業界の熾烈な競争の背後にある資金調達のボトルネック:資金調達が主な原動力

潘偉と趙娜が上海と北京から報告した。 「米国には2億台の自家用車があり、そのうち約300万台をレンタ...

ThingWorx: 産業用 IoT の価値を解き放つ

[51CTO.comより引用] 「中国製造2025」の公布により、製造業における物理世界とデジタルシ...

ケース分析: ウェブサイトのインデックスボリュームが減少した場合はどうすればよいでしょうか?

今日の話題に入る前に、今日お話しする内容をよりよく説明できるように、写真をお見せしましょう。上の写真...

SEO 最適化に適したウェブサイトスペースを選択するにはどうすればよいでしょうか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますSEO 最...

ウェブサイトの包含率を向上させる方法

Baiduが最近アルゴリズムを更新した後、含まれるウェブサイトの数が急減しました。著者のウェブサイト...

クラウドコンピューティングが普及した時代において、企業はどのようにして優れたクラウドサーバーを選択できるのでしょうか?

インターネット時代において、デジタル変革は新たな要件と新たなトレンドとなっています。企業は、変革を効...

文芸淘宝の経営理念:中小商店との再交渉が重要

野蛮な発展と成長に依存した後、Taobao は芸術的な方法でビジネスを行おうとしています。ダブルイレ...

初心者SEO担当者が同業者を選ぶ際に考慮すべき7つの要素

みなさんこんにちは、私は小思です。Baidu はここ 2 年間アルゴリズムを変更し続けているため、一...

企業ウェブサイトが突然ランキングを失った理由の分析例

元旦の休暇が明け、ウェブマスターたちは再びインターネット上で戦い始めました。新年を迎え、百度は再びア...

モバイルインターネットユーザーの「悩み」に耳を傾ける: 組み込みアプリが多すぎる、アップデートが頻繁すぎる

私たちはスマートフォンやアプリがもたらす利便性を享受する一方で、特定の携帯電話の設定や特定のアプリの...

ターンキーインターネット - $3.89/年/KVM/1G メモリ/1Gbps 無制限トラフィック

Turnkeyinternet は、知らない人もいるかもしれませんが、ベテランなら知っているはずです...

Kubernetes アーキテクチャ ガイド

Kubernetes アーキテクチャのさまざまなコンポーネントがどのように組み合わされているかを理...

第一回美団クラウド人工知能サミットが開幕、エコパートナーと協力して最もオープンなAIプラットフォームを構築

10月31日、中関村サイエンスパーク管理委員会の指導の下、美団クラウドが主催し、「AIの力で共存とW...

ウェブサイトの外部リンクを構築するための4つの主要な考慮事項の簡単な分析

ウェブサイトの外部リンクの構築は、すべてのウェブマスターにとって避けられない問題です。外部リンクは、...