クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第34回目となる今回は、「クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介」と題して、Amazon Web Services (AWS)の爆発範囲を自動的に可視化し、データへのアクセス経路を遮断する機能によって、クラウドセキュリティ態勢を強化することができる、Varonis for AWSをご紹介する、Nathan Coppingerのブログ記事をご紹介いたします。

AWSはスケールとスピードを重視して構築されていますが、セキュリティ部門にとっては、これは複雑さを意味します。ロールベースやリソースベースのポリシーによって、エンティティは簡単にアクセスできるようになりますが、エンティティが新しい役割を引き継ぐと、古いACLが残されたり、パブリックアクセスのブロックが外れたりすることがあります。

クラウドにおけるこのような複雑性のリスクを理解し軽減するためには、セキュリティ部門はこれらのリスクの大規模に可視化して修正できるようにする必要があります

だからこそ、当社は、クラウドネイティブのVaronis Data Security PlatformにAWS Access Graph機能を追加できることに興奮しています。

AWS Access Graphにより、セキュリティ部門は、ユーザー、ロール、グループ、ポリシーが、どのようにデータとマッピングされるかを簡単に可視化することができます。また、Varonisに組み込まれた修正機能を使用して、アクセス経路をブロックし、自動的に露出を減らすこともできます。

これらのAWS向けの新しいクラウドセキュリティ機能の詳細について、以下にご紹介します。

データアクセス権の効果的な可視化。

アクセス権を付与することに関してAWSは非常に柔軟です；AWSのアクセスキー、ID、インラインポリシー、リソースポリシーの間には、17,000を超える管理対象のIAMアクセス許可があります。

Varonisの新しいAccess Graphにより、セキュリティ部門は複雑なAWSアクセスポリシーを簡単に分析し、過剰に露出している機密性の高いを特定し、データへの経路を積極的にブロックすることができます。

Access Graphは、Varonisの既存のAWS実行アクセス許可の詳細なビューをベースにしており、アクセス許可を理解しやすいCRUDSモデルに正規化しています。AWS Access Graphは、セキュリティ部門に、すべてのユーザー、アカウント、ロールの実効アクセス権の視覚的なマップを提供します。

データにアクセス権を持つすべてのIDと、そのアクセス許可に影響を与えるポリシーを可視化。

AWS Access Graphにより、セキュリティ部門は次のことができるようになります：

•    実効アクセス権の分析 - アクセス権に影響を与えるアクセスキー、グループ、IDポリシー、インラインポリシー、リソースポリシーを素早く理解
•    データ露出の防止 - どのポリシーが機密性の高いデータを一般公開露出させているのかを確認
•    外部アクセスの制限 - 内部リソースへの外部アクセスを付与するロールの信頼関係を表面化
•    古いポリシーのクリーンアップ - 古いあるいは使われていないポリシーを特定して削除することによりアクセスポリシーを厳格化

Access Graphは、アクセス許可が変更されると動的に更新され、セキュリティ部門はアクセス権を双方向に分析することができます—リソースにアクセスできるのはどのエンティティか、また、エンティティがアクセスできるのはどのリソースか。

データへの経路を自動的に遮断。

アクセス経路を確認できることにより、セキュリティ部門はデータの保護に先手を打つことができます。しかし、重要なのは、クラウドセキュリティソリューションでは、機密性の高いデータへのアクセスと攻撃の潜在的な爆発範囲を効果的に制限するために、リスクの高いアクセス権を削除できる必要があるということです。

Varonisは、スケーラブルな修正機能をプラットフォームに直接組み込んでいるため、セキュリティ部門は継続的かつ自動的にAWSを保護することができます。

今回のリリースでは、既存の堅牢な修正ポリシーのライブラリーに、AWSに特化した新しいポリシーを追加します。新しい修正機能により、セキュリティ部門はデータへの経路を積極的にブロックすることができ、次のような機能で露出を削減することができます：  

•    ユーザーとロールから古いポリシー割り当てを削除
•    ユーザーから古いグループメンバーシップを削除
•    ロール（信頼関係）への外部アクセス権を制限
•    未使用のお客様管理ポリシーを削除

セキュリティ態勢の改善。

最小特権を維持することは、理に適ったセキュリティのベストプラクティスです。これは、ロールやリソースベースのポリシーを使用することがAWSで推奨されるアクセス方法である理由の大きな部分を占めています。

ACL、パブリックアクセスブロック、CloudFrontアクセスのような直接アクセス許可は、簡単に忘れられたり、管理されないまま放置されてしまい、攻撃者が悪用する爆発範囲を大きくします。

AWS Access Graphは、セキュリティ部門にセキュリティ態勢を可視化するダッシュボードを提供し、ベストプラクティスを使用している場所、直接アクセス許可、過剰に露出した機密性の高いオブジェクト、古いオブジェクトのようなリスクがある可能性のある場所を示します。

まとめ

クラウドネイティブなVaronis Data Security Platformは、セキュリティ部門の戦力を重層化し、最小限の手作業で成果を達成できるように支援します。

Varonis for AWSを使用することにより、組織は、重要なAWSデータリスクを、完全に、文脈を持って、継続的に可視化でき、次のような自動化によって真のセキュリティ成果を達成できます：

•    シャドウデータを含む、重要なデータを大規模に発見し、分類
•    データの露出の特定と修正
•    構成ドリフトを検出し、重大な構成不備を修正
•    アクティビティを監視して、検出、調査し、脅威をリアルタイムで阻止

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/aws-access-graph

・Varonis Data Security Platform
https://www.varonis.com/ja/products/data-security-platform

・Permissions References - AWS（英文）
https://aws.permissions.cloud/

・Varonis for AWS
https://www.varonis.com/ja/integrations/aws

ブログ著者について

Nathan Coppinger

Nathanは、最先端のテクノロジーを学ぶことが好きでしたが、コーディングをするための忍耐力はありませんでした。そこで彼は、ソフトウェアコードの背後にいる才能ある人々を代弁するマイクとなるという自分の立ち位置を見つけました。