ブログ

クラウドはあなた自身を守ることはできません

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2017 年 11 月 27 日公開

クラウドセキュリティ。 この用語自体は、条件がなければ実際には意味がありません。 「クラウド」を構成する基盤となるインフラストラクチャのセキュリティのことでしょうか? あるいは、「クラウド」内のコンピューティング、ストレージ、およびサービスをプロビジョニングおよび管理できるコマンド アンド コントロール API でしょうか?

なぜなら、あなたが自分の失敗から魔法のように守ってくれるその能力について考えていなかったことを私は知っているからです。 ご存知のとおり、Amazon S3 バケットのデフォルトのセキュリティ ポリシーを意図的に変更して、IP アドレスを持つすべてのユーザーがバケットに保存されているデータにアクセスできるようにするものです。

それがばかげた考えだと思うなら、その通りです。 しかし、十分なセキュリティ能力を備えた組織がまさにそれを実行していないと考えるのは間違いです。

一例を挙げると、あるシステム インテグレーターがあらゆる種類の重要なデータを Amazon S3 に公開して利用可能な状態にしていたことが最近明らかになりました。 資格情報や秘密鍵などといったものですね。 「エラー」はすぐに修正されたと伝えられていますが、S3 を誰でもアクセスできる状態にするには、オペレーターのアクションが必要であるという事実は変わりません。

意識的にドアのロックを解除する必要があります。 Amazon S3 は、デフォルトで、アクセスに関して厳格なセキュリティ制御がプロビジョニングされています。 Amazon のドキュメントより:

デフォルトでは、すべての Amazon S3 リソースはプライベートです。つまり、リソース所有者だけがリソースにアクセスできます。

-- バケットとオブジェクトのアクセス権限の設定

したがって、適切な IP アドレスを持つ人なら誰でもバケットの内容を閲覧できる状態にするには、人間による意識的なアクションが必要です。

問題の SI は、Amazon S3 のセキュリティ保護の欠如の犠牲になった最初の SI ではありません。 2017 年 2 月、研究者Troy Hunt 氏は、IoT 玩具「Cloud Pets」に関連する一連の興味深いクラウド セキュリティ イベントの失敗について詳細に説明しました。 これには、「特別な承認を必要としない Amazon S3 バケット」が含まれていました。 7 月に、3 大サービスプロバイダーの 1 社が、誤って設定された Amazon S3 を介して加入者レコードを公開したことがわかりました。

この問題がいかに広範囲に及んでいるかを示すために、 Rhino Security Labs は Alexa Top 10000 サイト全体にわたる Amazon S3 のテストの興味深い概要を提供しました。 その結果、「68 の固有ドメインに属するリスト権限を持つバケットが 107 個 (1.07%) 見つかりました。」 これら 107 個のバケットのうち、61 個 (57%) は、閲覧者全員にダウンロード権限が与えられていました。 13 件 (12%) はアップロード権限がオープンで、8% は 3 つすべてを持っていました。」

オープンダウンロードは、データが盗難される危険にさらされるため、十分に危険です。 でもアップロードもオープンですか? それは、従業員にフィッシングメールをクリックするように勧めているようなものです。

クラウドはあなた自身を守ることはできません。 セキュリティゲート、チェック、または監視が不足している場合でも、クラウド ストレージのアクセス許可を単に開いて、誰にも見つからないことを期待することはできません。 それは、CCTV を設置して、Telnet アクセスを外部に開放しておくようなものです。

おっと、え?

これが問題です。 アプリとデータの安全性は、それらを保護するために使用するポリシーと手順によって決まります。 S3 のようなクラウド ストレージが「オープン」アクセスを可能にするのには正当な理由があります。 ただし、企業のファイアウォールのポートと同様に、よほどの理由がない限り、ポートを完全にオープンに設定しないでください。 

アプリをオンにしたり URL を共有したりする前に「クラウド セキュリティ」の確認を要求する何らかのポリシーを導入していない場合は、導入する必要があります。 今すぐ。 つまり、読むのをやめて、それに取り組み始めるのです。

自分自身の最大の敵にならないでください。 ポリシーと手順を確認し、クラウドに保存するデータの重要性と指定された用途に合わせてセキュリティを調整してください。

S3 の誤った構成がニュースの見出しになるのを防ぐことができるのはあなただけです。

Amazon S3 バケットのロックダウンに関してサポートが必要な場合、Amazon ではドキュメントだけでなく、サポートツールも提供しています。