インフラストラクチャ・アズ・コード・テンプレートは、多くのクラウド・インフラストラクチャの弱点の根源です。

新しい調査レポートによると、クラウド コンピューティングの展開におけるインフラストラクチャ アズ コード (IaC) テンプレートの大部分が誤って構成されており、攻撃に対して脆弱な状態になっています。

[[315896]]

クラウド コンピューティングの時代では、変化する組織のニーズを満たすためにインフラストラクチャを迅速に拡張または展開する必要があり、新しいサーバーとノードの構成は完全に自動化されています。これは、Infrastructure as Code (IaC) または継続的構成自動化 (CCA) プロセスの一部として、機械可読の定義ファイルまたはテンプレートを使用して行われます。

Palo Alto Networks の研究者が GitHub リポジトリなどから収集したインフラストラクチャ アズ コード (IaC) テンプレートの新しい分析により、安全でない構成オプションを含むファイルが約 20 万件特定されました。これらのテンプレートを使用すると、Infrastructure as Code (IaC) によって展開されたクラウド インフラストラクチャとそこに保持されているデータが危険にさらされる重大な脆弱性が発生する可能性があります。

「人々が車の鍵をかけ忘れたり、窓を開けたままにしたりするのと同じように、サイバー攻撃者はこうした誤った設定を利用して防御を回避することができる」と研究者らは述べた。 「このような高い数字は、以前の調査でクラウド セキュリティ インシデントの 65% が顧客の誤った構成によって引き起こされたことが判明した理由を説明しています。最初から安全なインフラストラクチャ アズ コード (IaC) テンプレートがなければ、クラウド環境は攻撃に対して脆弱になります。」

広範な IaC の問題

インフラストラクチャ・アズ・コード (IaC) フレームワークとテクノロジーにはさまざまなものがありますが、Palo Alto の収集作業に基づくと最も一般的なものは、Kubernetes YAML (39%)、HashiCorp の Terraform (37%)、AWS CloudFormation (24%) です。このうち、特定された CloudFormation テンプレートの 42%、Terraform テンプレートの 22%、Kubernetes YAML 構成ファイルの 9% が脆弱でした。

Palo Alto Networks の分析によると、AWS CloudFormation テンプレートを使用したインフラストラクチャ展開の半数が安全に構成されていないことがわかりました。調査レポートでは、影響を受ける AWS クラウドコンピューティングサービスの種類別に攻撃をさらに分類しています。Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Relational Database Service (RDS)、Amazon Simple Storage Service (Amazon S3)、Amazon Elastic Container Service (Amazon ECS) です。

たとえば、テンプレートで定義されている S3 バケットの 10% 以上がパブリックです。過去には、セキュリティが不十分な S3 バケットが、多数のデータ侵害の原因として報告されてきました。

データの保護と潜在的な不正アクセスの調査に重要なデータベース暗号化とログ記録の欠如も、CloudFormation テンプレートでよく見られる問題です。半分は S3 ログを有効にしておらず、残りの半分は S3 サーバー側の暗号化を有効にしていません。

Amazon の Redshift データ ウェアハウス サービスでも同様の状況が見られました。プロファイルの 11% は公開された Redshift インスタンスを生成し、43% は暗号化を有効にせず、45% はログ記録をオンにしませんでした。

複数のクラウド コンピューティング プロバイダーとテクノロジーをサポートする Terraform テンプレートも、あまり良い結果は出ていません。デフォルトでは、Terraform で構成された S3 バケットの約 66% でログ記録が有効になっておらず、AWS EC2 インスタンスの 26% で SSH (ポート 22) がパブリックに公開されており、テンプレートの 17% でデフォルトですべての受信トラフィックを許可する AWS セキュリティ グループが定義されていました。

Terraform テンプレートで見つかるその他の一般的な構成ミスは次のとおりです。

• AWS Identity and Access Management (IAM) のパスワードが業界の最低基準を満たしていません (40%)。
• CPU またはメモリ リソースの制限がないコンテナ (64%)
• パブリック SSH を使用した Azure ネットワーク セキュリティ グループ (NSG) (51%)
• ログ記録が有効になっていない Google Cloud Platform ストレージ (58%)
• 安全な転送が有効になっていない Azure Storage (97%)。

Kubernetes YAML ファイルにおける安全でない構成の発生率は最小限ですが、発生することがあります。見つかった安全でない YAML ファイルのうち、Kubernetes 構成の 26% が root ユーザーまたは特権アカウントとして実行されていました。

「コンテナをルートとして構成すると、攻撃者はコンテナのほぼすべての側面を所有する機会を得ることになる」とパロアルトネットワークスの研究者は述べた。 「また、コンテナに対する攻撃の実行が容易になり、ホストシステムが他の潜在的な脅威にさらされることになります。セキュリティおよびDevOpsチームは、コンテナがルートまたは特権アカウントで実行されていないことを確認する必要があります。」

実際の展開に反映される IaC 構成エラー

IaC テンプレートの誤った構成の種類とその発生率 (データベースの暗号化とログ記録が欠落しているか、サービスが公開されている) は、Palo Alto Networks が過去のレポートで取り上げ、実際のクラウド インフラストラクチャの展開で検出された問題の種類と一致しています。

• 組織の 76% がポート 22 (SSH) へのパブリック アクセスを許可しています。
• 組織の 69% がポート 3389 (RDP) へのパブリック アクセスを許可しています。
• 64% がデータ ストアのログ記録を有効にしていません。
• ユーザーの 62% はデータ保存の暗号化を有効にしていません。
• 組織の 47% はサーバーレス関数のトレース機能を使用していません。

これは、安全でない構成やその他の脆弱性がないか事前に確認せずに、自動化されたインフラストラクチャの展開でインフラストラクチャをコードとして (IaC) テンプレートを使用することが、観察されたクラウド コンピューティングの弱点の重要な要因であることを示唆しています。

サイバー犯罪者グループは、被害者が支払った処理能力を悪用する暗号通貨マイニング マルウェアを展開するために、クラウド コンピューティング インフラストラクチャを頻繁に標的とします。しかし、一部の組織は暗号化の域を超え、ハッキングされたクラウド コンピューティング ノードを他の悪意のある目的に使用しています。

「攻撃者が、脆弱または安全でない IaC 構成テンプレートによって実装されたデフォルトの構成エラーを利用して、ファイアウォール、セキュリティ グループ、または VPC ポリシーを回避し、組織のクラウド環境を攻撃者に不必要にさらしていることは明らかです」と Palo Alto Networks の研究者は述べています。 「セキュリティのシフト レフトとは、セキュリティを開発プロセスの最も早い段階に移すことです。クラウド展開でシフト レフトのプラクティスとプロセスを一貫して実装している組織は、競合他社をすぐに追い抜くことができます。DevOps チームと協力して、セキュリティ標準を IaC テンプレートに組み込みます。これは、DevOps とセキュリティの双方にメリットをもたらします。」