ブログ

クラウドにおける運用セキュリティの向上

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2019年6月3日公開

クラウドでの運用コストを抑えたい場合は、運用管理側のセキュリティ対策を検討してください。

最近のセキュリティに関する注目のほとんどは、applicationプロトコルとapplicationスタック自体の脆弱性に集まっています。 侵害の大部分は、一般的なプラットフォームやフレームワークの脆弱性が容易に攻撃できる標的となるために発生することを考えると、これは驚くことではありません。

しかし、ビジネスの管理面へのアクセスがますます容易になっていることを無視してはいけません。 アプリケーションをパブリック クラウドに移行すると、管理トラフィックを簡単にアクセスできないように分離することの重要性が忘れられがちです。 オンプレミスでは、これは簡単でした。 管理ネットワークは一般の人がアクセスできない状態でした。 私たちは、内部からのみアクセス可能なルーティング不可能なネットワークにそれらをロックダウンしました。 アプリとそのapplicationサービス インフラストラクチャの両方をクラウドに移行したため、オペレーターがリモートにいるため、パブリックにアクセス可能な管理が必要です。

当社は、Telnet (追いつく必要のあるすべての IoT デバイスを除く) から SSH に移行し、適切なパスワード生成動作を実践してきましたが、クラウドネイティブ セキュリティを自社の実践とともにより有効に活用する方法を必ずしも検討してきませんでした。

クラウド プロバイダーのセキュリティ サービスの使用は、特にapplicationサービス インフラストラクチャの管理に関しては、クラウドでのビジネスの運用コストに大きな影響を与える可能性があります。

脅威は現実のもの

最も攻撃されるユーザー名とパスワードに関する F5 Labs の記事をまだ読んでいない場合は、ぜひ読んでみてください。 その中で、SSH は非常にターゲットを絞ったサービスであることがわかります。 結局、他の何よりもそうなのです。

記事より:

攻撃量によって、攻撃者はより多くの時間と労力を集中させる SSHへの攻撃 他のどのオンライン サービスよりも優れています。 SSH 経由の本番applicationsの管理者ログインへのブルート フォース アクセスは、HTTP 経由のapplication自体への攻撃 (Webアプリケーションの脆弱性を悪用しようとする攻撃者) よりも 2.7 倍多く発生します。

なぜそうしないのでしょうか? applicationサービス インフラストラクチャに対する管理制御により、Webapplicationsへの容易なアクセスを妨げる可能性のあるポリシーを変更する機能など、多くの権限が与えられます。 Kubernetes の場合、資格情報を必要としないために標的になることが多く、他人のお金でリソースをファームするためにアクセスが求められます。

しかし、あなたはセキュリティに精通しており、インフラストラクチャへのすべてのアクセスに強力なパスワードを必要としています。 SSH パスワードは非常に強力なので、入力する前に立ち止まってよく考える必要があります。 毎回。

今世紀の明白な事実は、強力なパスワードでは攻撃を防げないということです。 成功した攻撃を軽減するだけです。 誰かが攻撃を開始するのを止めることはできません。 本当に無理だよ。 検出して成功を防ぐことしかできません。

しかし、その間、その攻撃には実際の運用コストが伴います。 スマートなセキュリティを実践し、失敗した試行がすべて記録されるからです。 毎。 シングル。 1つ。

そして、ブロックする試行が失敗するたびに、リソースが消費されます。 帯域幅。 ストレージ。 計算します。  

クラウドネイティブサービスを使用してセキュリティ対策を強化する

すべての主要なクラウド プロバイダー (おそらくマイナーなプロバイダーも) は、applicationサービス インフラストラクチャへの管理アクセスをロックダウンするために使用できる基本的なネットワーク セキュリティ制御を提供しています。 AWS セキュリティ グループ (SG)Azure ネットワーク セキュリティ グループ (NSG) はファイアウォールとほぼ同じように機能し、インスタンスに出入りするトラフィックをフィルタリングします。 管理アクセスの場合、これはセキュリティ ツール チェスト内の重要なツールになります。 既知の IP アドレス (または指定された範囲) のみへのアクセスをロックダウンすることで、インフラストラクチャに到達する攻撃の量を大幅に削減できます。 これにより、コンピューティング、帯域幅、ストレージの過剰な消費を防ぎ、コストを抑えることができます。

これは、アプリの保護とベスト オペレーション プラクティスの両方としてクラウドでの Webapplicationファイアウォールの使用を推奨する原則と同じです。 攻撃が過剰な量のリソースを消費する前にそれを阻止することが目的です。  たとえその攻撃が失敗したとしても、その試みは、企業に金銭的な損害を与えたり、正当なユーザーの可用性を妨げたりするような自動スケーリング イベントを強制するには十分である可能性が高いというのが事実です。 どちらも望ましい結果ではありません。

原則として、攻撃の発生源に近いほど攻撃を阻止でき、安全性が高まり、ビジネスにかかるコストも削減されます。

増強。 代用しないでください。

セキュリティ実践においてクラウドネイティブ サービスを使用するための鍵は、「拡張」です。 強力な SSH パスワードを使用することをお勧めします。 強力なアクセス制御と組み合わせる方が効果的です。 ただし、セキュリティ グループのみを優先して、強力なパスワードの使用を放棄することは絶対にしないでください。 両方を併用することで、セキュリティを確保し、クラウドでのビジネスにかかるコストを抑制できます。