不適切なクラウドコンピューティング構成はデータセンターにセキュリティ上の課題をもたらす

最近の調査では、不適切に構成されたパブリック クラウド インスタンスが組織の機密データにセキュリティ上の問題を引き起こす可能性があることが示されています。データとアプリケーションをオンプレミス環境からクラウドに移動する場合、適切なアクセス制御が常に実行されるとは限りません。したがって、クラウド コンピューティングの構成は依然として大きな問題です。

オンライン求人サイト「Ladders」が、Amazon Web Services クラウド プラットフォームでホストしていた 1,300 万件以上のユーザー記録を漏洩した。原因は何でしたか？ AWS ElasticSearch サービスインスタンスでのアクセス制御の設定ミス。

今年 5 月、UpGuard のセキュリティ研究者による調査レポートによると、5 億人を超える Facebook ユーザーのデータが第三者によって漏洩し、その情報が保護されていない Amazon S3 バケットに保存されていたことが明らかになりました。マーケティングサービスプロバイダーのChtrboxは情報漏洩を認めたが、その影響は報道されたほど広範囲ではなかったと述べた。

SANS Institute が先月発表したレポートによると、回答者の 31% が、クラウド環境またはクラウド資産への部外者による不正アクセスがあったと回答しており、これは 2017 年の 19% から増加しています。これらの攻撃の主な原因は認証情報のハイジャックですが、不適切なクラウド構成が 2 番目に多い原因となっています。

このような不適切な構成は、公開アクセス可能なデータベースに限定されません。たとえば、コンテナ管理プラットフォームなどの他のクラウド コンピューティング システムも、サイバー攻撃者の主な標的となります。

Palo Alto Networks は最近、デフォルト設定を使用している 40,000 を超えるコンテナ ホスティング サービスを発見しました。これには、最も人気のある 2 つのコンテナ プラットフォームである Kubernetes と Docker 上のそれぞれ 20,000 を超えるサービスが含まれており、組織が攻撃に対して脆弱になる可能性がある設定上の問題があります。

例えば、Docker社は4月に、ハッカーがDocker Hubデータベースに侵入し、19万件のアカウントからデータを盗んだ可能性があることを認めた。パロアルト社のサイバー脅威研究者ナサニエル・クイスト氏によると、ハッカーらはキーとトークンの保存に関する脆弱なセキュリティ構成を悪用したという。

クイスト氏は、最近の Ladders の脆弱性は重大な結果をもたらす可能性のある基本的なコンテナの設定ミスの一例であると述べた。

「ラダーズの脆弱性から人々が学ぶべき教訓は、コンテナサービスを展開するすべての組織がセキュリティ構成を強化する必要があるということだ」と彼は報告書に記した。

Malwarebytes Labsのディレクター、アダム・クジャワ氏は、攻撃者はクラウド上で開いているポートや特定の命名規則を探していると述べた。その後、クラウド コンピューティング管理プラットフォームのログイン ページにアクセスしましたが、認証情報はデバイス製造元のデフォルトのパスワードであったか、パスワードがまったく設定されていませんでした。

Attivo が昨年末にセキュリティ専門家を対象に実施した調査によると、クラウドへの攻撃は企業が直面する最大のセキュリティ上の脅威です。カンザスシティに拠点を置くセキュリティベンダーのFiremonが今年初めに発表した調査では、回答者の60%が、クラウドの展開がクラウドプラットフォームを保護する能力を超えていると答えています。

問題はクラウドコンピューティングの普及だとファイアモンの技術提携担当副社長ティム・ウッズ氏は言う。たとえば、ビジネス ユーザーは、IT チームの監視なしにクラウド コンピューティング機能にアクセスすることがよくあります。

ハッカーは公共のインターネットを絶えずスキャンし、簡単にアクセスして攻撃できるシステムを探していると彼は指摘した。 「こうしたハッカーはパスワードを解読する必要はなく、設定ミスがないものを探しているだけだ」と彼は語った。

大企業は、すべてのクラウド展開を可視化し、クラウドに移行されたすべてのデータに対して誰かが責任を持つようにする必要がある、とウッズ氏は述べた。クラウドコンピューティングプロバイダーのセキュリティ対策も強化する必要があります。

「物事が急速に変化しているため、クラウドベンダーが十分な対応をしていないと思う」と同氏は語った。 「今日のクラウドベンダーは開発を加速させています。昨年のAWS Reinventカンファレンスに参加したとき、同社は238を超える新しいセキュリティ機能を発表していましたが、そのデータの多くが誤って漏洩しました。」

AWS が導入した新機能の 1 つに、パブリック アクセスのブロック機能があります。この機能は、S3 バケットの偶発的な漏洩の数にすでに大きな影響を及ぼしています。 Digital Shadows が最近発表したレポートによると、S3 バケットから漏洩したファイルの数は、2018 年 10 月の 1,600 万件から現在は 2,000 件に減少しています。

しかし、これは、あるクラウド コンピューティング プロバイダーにとってのクラウド構成の課題の 1 つの具体的な例にすぎません。

「大企業は複数のクラウドプロバイダーを利用することが多い」とウッズ氏は言う。 「クラウド プロバイダーごとにセキュリティに対するアプローチは異なります。セキュリティに関しては、プロバイダー自身の責任と顧客の責任が何であるかを理解する必要があります。」

「クラウドプロバイダーの責任を理解しているからといって、それがすべて同じだというわけではない」と同氏は語った。

問題は、企業にとって、起こり得るすべての設定エラーを把握し続けることが難しいことだと、バージニア州アーリントンに拠点を置くクラウド セキュリティ ベンダー DivvyCloud の共同設立者兼 CTO である Chris DeRamus 氏は語る。

「設定ミスによるデータ侵害を経験する企業が増えており、ニュースでもほぼ毎日目にする」と彼は語った。 「現実には、組織には安全でないソフトウェアの構成や展開を特定し、修正するための適切なツールが不足しています。」

同氏は、企業は、誤った構成をリアルタイムで検出し、セキュリティ管理者にこれらの問題を警告したり、自動的に解決したりできる自動化ソリューションを探す必要があると述べた。