DevOps 2021:サプライチェーンを Ephemerality 概念の導入で守る

All Day DevOps 2021: Securing the software supply chain with ephemerality and the least-privilege principle

2021/10/29 DailySwig — 1974年にコンピュータ科学者の Jerry Saltzer は、「すべてのプログラムとシステムにおける、すべての特権ユーザーは、必要な最小限の特権を用いて、仕事を完了すべきである」と述べた。半世紀近く経った今でも、ソフトウェア開発において最小特権の原則は最重要事項であると、VMware の CTO for Modern Application Platform である James Watters は、今年の All Day DevOps の参加者に向けて語った。

多様なマルチ・クラウド環境において、リスクを管理することの困難さが増しているが、いまの DevOps チームは、最小特権モデルを遵守するための、強力な技術的手段を持っていると、Watters は示唆している。基調講演に登壇した Watters は、「1970年代には不可能だった方法で、つまり、自動化とランタイムの振る舞いを根本的に変えることで、システム全体の特権を減らすことができる」と述べた。

また、VMware の Senior VP and CTO である Kit Colbert は、「メリットが広がっても、悪意の侵入を防げないのは、善意の開発者であっても必ずミスを犯すためだ。開発者が、誤ってリスクを負わないように、アクセス制御を構造化すれば、その分だけ改善される」と述べている。さらに Colbert は、「OS におけるユーザー ID の概念が、オープン・インターネット上には実在しない。つまり、IP アドレス数は実際には数えられない。YubiKey とは、Web プログラミングを後付で、物理キーにハード・バインドしたものだ」と指摘した。

短時間で完結すべきビルド

プレゼンテーションでは、もう一つのテーマとして、「短時間での完結:Ephemerality」が取り上げられた。Watters は、「システム・エンジニアリングの新しい境界線は、特権を持つプロセスを、どれだけ短時間に限定できるかだ。Equifax インシデントの後に、システムに存在するかもしれない長期的な共有秘密について、誰もが強く意識するようになった」と述べている。

VMware の VP of Engineering for Security, Compliance, and Privacy である Ashok Banerjee は、「短時間への限定が、特に重要である。実運用システムでは、昨日の VM にパッチを当てることがないため、脅威アクターは一般的に、VM 上で悪意の活動を持続させることはない。古い VM は捨てられ、新しい VM が作られる。そのため、何らかの方法でコンフィグレーションを変更する必要があるが、Infrastructure-as-Code で構築された、短時間に限定される環境では不可能である。これは、強力なツールとなる」と述べている。

ビルド・パイプラインへの攻撃

Bannerjee は、「オープンソース・コードの依存関係の混乱を狙った攻撃から、ソフトウェア・デリバリーフェーズに対するパッケージ・ミラー攻撃まで、CI/CD パイプラインのあらゆるレイヤ攻撃を受けている。その一方で、脅威アクターはバージョン履歴を嫌うため、中間段階であるビルド・パイプラインへの攻撃は、ソースコード・システムへの攻撃よりも悪質な場合がある。たとえば、SolarWinds への攻撃では、ビルドシステム上のファイルを交換することで、自分たちの活動を偽装していた。攻撃者は通常、最初の侵入から2週間ほどで行動を起こすため、インストールされた製品と、新しい振る舞いを、関連付けることができなくなる。たとえ毎週のように攻撃してきても、それを検知して、ダメージが生じる前に排除できる」と述べている。

バタフライ効果

DevSecOps の現状について、最も懸念していることを尋ねられた Bannerjee は、「パッチを 12時間待つ不自由さだ」と答えている。また Watters は、「コード変更の One-to-Many パラダイムに問題がある。私たちは、このクラウドによる自動化の世界を作り上げた。今日の経済を文字通り実行しているバックオフィス・システムとは別の、膨大な数のマシンに対して小さな変更がディプロイされる。ソフトウェア・サプライチェーンで羽ばたく小さな蝶が、ハリケーンを引き起こす可能性がある。幸いなことに、Equifax や SolarWinds への攻撃から学習したおかげで、いまの情報セキュリティ業界は、ソフトウェア運用のコア・エンジニアリング分野の1つになった」と述べている。

まとめ

Watters は、もう1つの有望な展開にもスポット・ライトを当てる。それは、パイプラインのペルソナへの分解である。これは、人材不足に悩む組織のための、DevOps アプローチの民主化である。一方、Kit Colbert は、潜在的なリスクや脆弱性のクラス全体をアーキテクチャ的に排除する可能性を提起した。それを正しく行うと、無数の脅威に対して単に「モグラたたきをする」のではなく、「基本的なレベルのセキュリティ」になると、彼は言っている。

Ephemerality の意味を調べたところ、「長く続かないこと」、「はかなさ」、「短命なもの」といったものが検索されました。この記事では、ビルドの時間の短縮や、特権を持つ時間の短縮などを指しているので、そんな感じで訳してみました。なかなか、興味深い視点を提供してくれる記事であり、また、ゼロトラストへの新たなアプローチを示してくれる記事ですね。

%d bloggers like this: