Palo Alto Networks Adds Cloud Misconfiguration Tool
2021/08/31 SecurityBoulevard — 今日、Palo Alto Networks は、Bridgecrew by Prisma Cloud の機能を拡張し、複数のクラウド間でのコンフィグレーション・ドリフトを検出するためのツールを発表した。Bridgecrew Drift Detection は、オープンソースの Yor Project をベースにし、IaC テンプレートに属性と所有権の詳細を自動的にタグ付けするとともに、クラウド・リソースに伝達される固有の ID を付与する。
なお、この Yor は、今年の初めに Palo Alto Networks 買収した、Bridgecrew により開発されている。Bridgecrew by Prisma Cloud は、IaC (Infrastructure-as-Code) をスキャンするための、 オープンソース・ツール Checkov を、すでに ITチームに対して提供しているが、これも Bridgcrew が開発したものだ。
Bridgecrew by Prisma Cloud の VP である Guy Eisenkot は、Bridgecrew by Prisma Cloud プラットフォームの Multi-Cloud Drift Detection 拡張機能は、Yor のトレース機能を活用するものであり、IaC におけるクラウド・リソースの定義と、ランタイムで設定されたクラウド・リソースとの間で、不一致を簡単に特定してフラグを立てるものだと述べている。
その目的は、開発者やクラウド・プロバイダーが行った変更により発生するかもしれない、ミス・コンフィグレーション簡単に特定することだと付け加えている。こうしたミス・コンフィグレーションが検出された場合、IT チームによる修正が必要になるが、マルチクラウド・ドリフト検出機能により、組織のリスクレベルに応じた優先順位がつけられると、Guy Eisenkot は述べている。現時点で、Multi-Cloud Drift Detection は、Amazon Web Services (AWS) / Microsoft Azure / Google Cloud に対応しているという。
クラウドへの侵入の原因は、ほとんどの場合において、ミス・コンフィグレーションに起因する。開発者は通常、Terraform などの IaC ツールを用いて、クラウド・インフラストラをプロビジョニングする。しかし、残念なことに、開発者の多くはセキュリティの専門家ではないため、ミスが頻発する。その一方で、サイバー犯罪者は、クラウド・インフラのミス・コンフィグレーションをスキャンし、そこからマルウェアを注入し、データを流出させることなどに長けている。
マルチクラウド・ドリフト検出拡張機能を、どのように活用するのかは、それぞれの企業の判断に委ねられる。理想的な世界では、アプリケーションのコンフィグレーションとデプロイメントを管理する DevOps パイプラインを介して、検出されたドリフトは開発者にフィードバックされるべきだ。結局のところ、サイバーセキュリティ・チームには、IaC ツールを用いて作成されたコンフィグレーション更新するための、プログラミング・スキルがないのが一般的である。Guy Eisenkot は、クラウド・コンフィグレーションを一元管理するのは、一般的には SRE (Site Reliability Engineer) であると指摘している。
クラウドにおけるミス・コンフィグレーションが注目されるようになったのは、一連の有名な情報漏えい事件の後に、ソフトウェアのサプライチェーンで採用されているコアプロセスを、多くの企業が見直すようになったからである。長年に渡りクラウド・サービス・プロバイダーたちは、開発者がクラウド・インフラを安全にプロビジョニングできることを前提とした、クラウド・セキュリティの共有責任モデルを主張してきた。しかし、多数のミス・コンフィグレーションが発生していることを考えると、こうした開発者への信頼は見当違いだったのかもしれない。
このようなセキュリティの見直しが、クラウド・インフラのプロビジョニングを誰に許可するか、あるいはどのようなツールを採用するかという点について、根本的な変更をもたらすかどうかは定かではない。しかし、サイバーセキュリティ・チームが既存のプロセスを深く掘り下げていくと、すぐに欠陥に突き当たると結論づけられる可能性がある。その場合、問題となるのは、変化し続けるセキュリティ要件に圧倒されている開発者に、さらなる負担を強いることなく、プロセスを改善するための方法である。
昨日にポストした「クラウド・インフラの認証を再考:GitOps のすすめ」と、まったく同じスコープの話ですね。その時は、「コンフィグレーション・ドリフト」という用語を使いませんでしたが、この記事では直訳してみました。どちらも Security Boulevard なので、この領域に注目しているということなのでしょう。このところ、クラウド周りのセキュリティを、そのプロバイダーに任せてはいけないという話が増えてきて、興味津々です。それと、IaC (Infrastructure-as-Code) という用語も、よく目にするようになりました。
IoT OT Security News 
