本書を手に取った背景
kindleでセキュリティの本を探していたら気になったので、ダウンロードしてみた。CISSPの勉強の一環として読んでみることに。
仕事でもクラウドネイティブのセキュリティについて、携わっていたことがあったので知識の整理もできたらいいなと思った。
本書のテーマ
このコースではIaaS、PaaS、SaaSを利用する方々を対象に、クラウドネイティブ人材に必要となる知識をセキュリティの観点から身につけることができる。
個人的なポイント
1,SRE
更にセキュリティの自動化も可能にするものです。それは サイトリライアビリティエンジニアリング(SRE)
2,CISとは
例米国CIS(Center for Internet Security)が発行している CIS Controls(シーアイエス コントロール) はクラウドを含む、オンプレなどにも適用が可能なインターネット情報セキュリティに対する、基本的な対応がまとめられたガイドラインなどを参考にするといったのも一つの方法です。主にネットワークに関連した一般的なサイバー攻撃を軽減するための18の項目が優先度付きで解説されているため、一般的なサイバー攻撃に対する基本的な指標として有効です。それに対して CISベンチマーク には更にOSやオープンソース、さらにAWS、GCPなどの各パブリッククラウドプラットフォーム毎に詳細なセキュリティ対策の実装まで含んだガイドラインとなってる。
3,クラウドのセキュリティ事故事例
2017年7月12日、米通信大手Verizonの加入者1400万人の個人情報が、Amazon S3上にURLさえ分かれば、誰でもアクセスしてデータをダウンロードできてしまう状態で 公開 されていた。
■ダウジョーンズ、400万人の個人情報がアクセス可能な状態で公開 こちらもUpGuardの調査で 発覚 した内容だ。ダウ・ジョーンズの出版物に対する数百万人の加入者の名前、住所、口座情報、電子メールアドレス、およびクレジットカード番号の最後の4桁の数字がAmazonのS3に保存されており、AWSのIDを保有しているユーザがURLを知っていればアクセス出来る状態で公開されていた。ダウ・ジョーンズは220万人の顧客が影響を受けていると述べているが、UpGuardはこの数字を400万人に近いと推定している。
■米シカゴの有権者180万人あまりの個人情報が一般にアクセスできる状態で露呈 UpGuardによると、データが露呈されていたのは、AWSのAmazon S3バケットが一般にアクセスできる設定になっていたことが原因だった。AWSのデフォルトの設定では、許可されたユーザーしかデータにはアクセスできないという。「もしこの設定を変更する場合は、データの露呈を確実に発見して
4,
CWPPが登場した背景として アプリケーションのマイクロサービス化 があります。
5,パブリックの機能
Web Security Scanner (WSS):App Engine、Google Kubernetes Engine(GKE)、Compute Engine の各ウェブ アプリケーションにおけるセキュリティの脆弱性を特定するサービスです。対象となるのは App Engine スタンダード環境と App Engine フレキシブル環境、Compute Engine インスタンス、GKE リソースとなります。検出内容としては、GitやSVNリポジトリが一般公開されている(機密情報漏洩の危険性)、パスワードが平分でで送信されている(通信傍受の可能性)、各種ヘッダ情報の不備(意図した動作が保証されない)、SQLインジェクション、SSRF(リクエストフォージェリ)、XSS(クロスサイトスクリプティング)などの検出など
Chronicle:2018年にGCPのサービスの一部として統合されました。ChronicleはGoogleの得意とする大量データを高速で検索可能なデータプラットフォームにあらゆるログデータを集積し、Yara-Lルールという脅威検出言語により大量のログデータから高速で脅威検出を可能にします。また検出した結果を市場でデファクトであるSOAR(Security Orchestration, Automation and Response)製品であるパロアルトネットワークス社のCortex XSOARやSplunkなどの3rdパーティソリューションとの統合も特徴です。最近はGCPのSCCとの統合も完了し、GCPネイティブセキュリティサービスとして提供されてい
6,ブラウザのセキュリティ
Chromeは元々ブラウザとして一般に広まりましたが、独自のセキュリティの仕組みも特徴 となっています。サンドボックスというWebやアプリケーションが制限された環境で動作することにより、万が一あるタブでウィルスに感染したベージアクセスしても、他のタブやアプリケーションに影響することなく、脅威を最小限に抑えることが出来きる。
7,その他セキュリティ機能
SAST(Static Application Security Testing:静的解析):SQLインジェクション、コマンドインジェクション、サーバーサイドインジェクションなどの攻撃対応がされているかなどをチェック。コード内にAPIシークレットやDBアクセスのためのパスワードが平分で記述などの機密情報が含まれていないかのチェック 利用しているライブラリ、パッケージ、API、オープンソースなどの脆弱性チェック ビルド ビルド定義ファイルをスキャンし、ビルドでインポートしている外部ライブラリやパッケージなどの脆弱性のチェック ビルドしたイメージなどのリポジトリが外部に公開されていないか、
DAST(Dynamic Application Security Testing:動的解析):事前に定義した外部からの攻撃パターンなどを擬似的に実施することによるインターフェースなどの脆弱性がないかなどのセキュリティテスト項目を設け、テスト実行の自動化の実施 デプロイ(コンテナ) DockerfileやAWS Cloud FormationなどのIaCファイル内で定義されているOS、パッチ、ライブラリ、パッケージ、APIなどのバージョンに脆弱性などが既に報告されていないことを確認する リポジトリからpullされるイメージが正式なものかをチェックするためにバイナリ認証などの仕組みを導入する 運用
CSPM、CWPP、CASBなどの業界標準クラウドセキュリティ監視、防御の仕組みによるセキュリティ自動化の導入 ファイアウォール、CDN(Content Delivery Network)などの導入による境界型防御とゼロトラストセキュリティを合わせた多層防御の仕組みを導入する。
今後やれること
・クラウドネイティブセキュリティ製品の提案時に上記の知識を活かす
まとめ
詳細な各機能の仕組みは説明がなかったですが、総論を理解するのに適した書籍だと思いました。今後は各機能の各論をしりたい。