Azure ADのセキュリティのベストプラクティス:アクセス、制御、ロール

https://assets.beyondtrust.com/assets/images/blog/AzureADSecurityBlog11.JPG

図11:BeyondTrustのCIEM製品、Cloud Privilege Broker

もちろんクラウドベースでSaaSベースの製品なので、完全な監査機能がついています。継続的な検知という考え方です。再読み込みのキーを押すことで、私たちは常に最新情報を見に行きますよね。新しいユーザがいるか? 新しいグループがいるか? 知っておかなければならない新しいロールは? そうすれば状況をよく理解して、最小権限の原則に従うためのアドバイスを与えられるからです。お勧めするのは、「それは要りません、継続的な特権をゼロにしましょう」ということもあります。ユーザはユーザのままにしておき、彼らに特別なことをさせたければ、特別なものを割り当てればいいのです。ここで画面共有してお見せしたいのは……Randy、ちゃんと見えているか教えてくれますか?

Randy:はい、ちゃんと見えていますよ。

Tim:ありがとう。今、Cloud Privilege Brokerにログインしました。 意図的に、できるだけシンプルで大雑把なものにしています。承認を受けて構文解析します。Azureに特化しましょう。承認を受けてロール、ユーザ、グループをすべて収集すると、人間のアカウントがどれで、マシンのアカウントがどれかわかり、これらをプルダウンして、中で行なわれている動作について独自のグラフを作成できます。そして、誰が何を持っているか、何を使ったかということに基づいてリスクのスコアをつけます。そしてここが肝心なのですが、誰かにあるパーミッションが割り当てられているのに使われていなければ、そこがセキュリティの穴ということです。そうですよね?

Randy:そうですね。異論はいくつかありますが、確かにそう言えるでしょう。

Tim:私たちは、個々のユーザのレベルでリスクを測り、それを洗い出して、自分の環境で起こっていることについて履歴をとれるようにします。すると、一定期間に行なわれた監査証跡について、ひと目で見ることができます。おわかりでしょうが、ユーザとパーミッションに関するこのグラフを処理すれば、推奨事項を作成できるのです。推奨事項と呼んでいますが、それは、昨今では決して簡単ではないからです。新たなパーミッションを作成する際には、思わぬ結果にならないようにしたいのが当然ですから、クラウドに関してはごく慎重にならなければならないのです。だから水晶にとどめておくのです。

中でもシンプルなのはMFAです。ここにJohn Doeのアカウントがあり、彼にはMFAが割り当てられていませんでした。どうすればこれを有効にできるのか、お見せしましょう。AWSの推奨事項ですが、有効にする方法をお見せします。そうすれば完了としてマークできます。推奨事項の一部として先ほど行なったことですが、そうすると、ユーザには山ほどのパーミッションが与えられます。Azureでの例を見てみましょう。クラウド監視サービスのアカウントです。どのようなパーミッションが与えられているでしょうか。そして、ここでお伝えしたいのは、使われていないパーミッションがあるということです。さあ、このユーザアカウントで行われた動作をすべて辿り、何が行なわれたのかわかりました。もしパーミッションが使われていなければ、それを削除するのがいいでしょうこのロールに割り当てられ、過去3か月使われていないパーミッションのリストがこれです。では先へ進みましょう。

有効になったMFAの下に、簡単なチェックボックスがあります。でも、パーミッションを削除すべきだという場合は、独自のロール定義をクリップボードにコピーできるようになっています。また、ここにいくつかポリシがあるのは、このユーザが異なるグループやロールで動作しているからです。お勧めは、ここから直接コピー&ペーストすることです。考え方として、私たちがAIを多用して自信がつき、簡単に使えるような製品にすれば、「大丈夫ですから変更してください」といえます。でも初期の段階ではアドバイザーとしての役割に徹したいと思います。あなたが何らかの例外を知らなかったために間違ったことをしても、私たちは責任を取れないからです。この画面はここでおしまいにしましょう。

ぜひお伝えしたいのは、Azureに限って言えば、特定の原則のタイプを見ればわかることがあるということです。ですから、「Azureのサービスアカウントを教えてください」と言えるのです。パーミッションの数が多すぎる場合、前に見たクラウドのモニターピースがとても高いので、本部のチームが持っている一連のパーミッションをもう一度見ることができます。たくさんのIAMパーミッションが割り当てられているのに実際には使っていないようなので、それを削除するほうが安全だと伝えます。この推奨事項を無視する機能もあります。ではフィルタを外して、推奨事項のすべてのリストに戻りましょう。

ここでお見せしているのがシンプルなのは、バックグラウンドで行なわれていることを簡略化しているからです。意図的にシンプルかつ簡単にしました。推奨事項はすべて見ることができます。推奨されている修正を行なうために他の人が何をしたか見ることもできます。たとえば、Adam Smithというユーザの例です。管理者が彼の多因子認証をオンにする設定を有効にしました。私たちには、削除されたパーミッションを完了させたシステムしかお見せできません。何が行なわれているのかもっと詳しく調べたいという人には、システム動作のダッシュボードをお見せし、どこでCloud Privilege Brokerがログインされ、使われているかを示して、その環境を理解し、権限が大きすぎたり小さすぎたりするのがわかるようにすることができます。Cloud Privilege Brokerのユーザが誰かもわかります。

Cloud Privilege Brokerについては、保守が少し必要ですが、Cloud Privilege Brokerを使って、誰が何をしているのか、知るための機能を手にしていただきたいと思います。独自のダッシュボードを作成することもできます。さまざまな画面(タイル)が数多くあり、随時追加する予定です。これはSaaSアプリケーションで、肝心なのはグラフを作成することです。あなたの環境に誰がいて何ができるのかを知ること、そしてもっと大事なのは、何を使っているのかを知ることです。そうすれば、使われていないパーミッションを削除することで、安全性を高め、攻撃面を縮小することができるからです。

環境にはとても簡単に接続できます。クラウドコネクタを作成します。今日は作成しませんが。コネクタがここにいくつかあるのがおわかりだと思います。画面のサイズを変更してみます。このコネクタを見てみましょう。スキャンに失敗したのは、もうそのパーミッションを与えられていないユーザだということです。中に入ってコネクタを作成し、クライアントシークレットを与え、テストを行ない、クラウドコネクタを保存します。そうすると、構文解析を開始します。先ほどお話ししたユーザやグループやロールの読み込みを行ない、誰がどこで、どんなパーミッションを使って何をしているかがわかります。

総じて、私たちはお客様が、クラウドでのパーミッションやエンタイトルメントをうまく処理するお手伝いをしたいと思っています。誰が何にアクセスできるかを可視化すれば、攻撃面をどう縮小すればいいかがわかります。これで私のデモは終わりにし、質問に戻りたいと思います。Randy、お願いできますか。

Randy:はい。デモやその他の情報をご希望の方は、BeyondTrustにご連絡ください。ここにいくつか質問がありますので、時間の許す限りお答えしたいと思います。私たちも疑問に思っていることなので。Dougの質問です。「誰がいつ何を、どんな権限で行なっているかを教えてくれるログ記録はどんなものですか?」

Tim:誰が何をしたかわかるログ記録ですね。Azureでは、いつも混乱してしまうのですが、1つはCloud Watchでもう1つはCloud Trailです。MicrosoftもAWSも、ユーザの動作をすべて監査するという機能にたいへん優れています。私たちがしようとしているのは、こうした監査ログからオブジェクトGUIDを抽出し、このGUIDのパーミッションを使ってグラフを作成することです。では、抽出してみましょう。

推奨事項の1つは見直しのパーミッションです。削除のパーミッションをお見せしましたが、見直しのパーミッションもあります。Randy Franklin Smithが私のディレクトリにあり、あなたがクラウドを使えるようにしたとします。3か月たって、あなたがクラウドで何もしていなければ、そのユーザのパーミッションをすべて削除するのではなく、彼の見直しを行なうように促します。クラウドを使っていないからといってただRandy Franklin Smithを削除するのはあまりいい考えではないからです。私たちは、彼にそこで何ができるか、どんなアプリケーションにアクセスできるかを理解してほしいのです。これで質問の答えになっているでしょうか。

Randy:ちょっといいですか。その記録で、ユーザが自分のパーミッションを使っていないことがわかるということですが、どのようにして使っているかいないかわかるのですか?

Tim:監査機能によってです。パーミッションを使うたびに、たとえば、特定のグループが作成したイベントを見に行った場合、監査イベントで、Randy Franklin Smith がこの時、この名前で、このIPアドレスから、このパーミッションを使ってイベントを作成しました、と知らせてくれるのです。

Randy:わかりました。

Tim:それで私たちはそうした監査イベントを見て、それを吸い上げてグラフを作成するのです。

Randy:素晴らしいですね。

ではボブの質問です。これを動作させるにはテナントにどのような種類のパーミッションが必要ですか? どんな種類のアクセス権が与えられますか、ということですね。

Tim:そうですね。主として読み込みです。だからこそ、したくないことのひとつで、先ほど言ったように、私たちは単なる助言者であり、ふさわしい能力がないということなのです。ユーザを読み込み、ロールを読み込み、監査イベントとある種のパーミッションを抽出するという作業です。Cloud Privilege Brokerを実行するのに必要なエンタイトルメントが正確にどんなものか、かなり詳細なリストはありますが、意図的に簡単にし、読み込みに絞ったものにしているのです。

Randy:なるほど。いろいろな事情があるのですね。

Tim:そうです。

参考 BeyondTrustとソリューションの紹介

シェアする

  • このエントリーをはてなブックマークに追加

フォローする