Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

Tenable.cs と HashiCorp TerraformCloud でクラウドインフラの設定ミスによる脆弱性を管理・修正

Tenable.cs と HashiCorp TerraformCloud でクラウドインフラの設定ミスによる脆弱性を管理・修正

事前に予防可能な設定ミスによって引き起こされたクラウドでの侵害が増加傾向にあります。Tenable.cs と Terraform Cloud の新しい統合によって実現した、リスクを軽減する方法をご紹介します。

今日のクラウド環境は非常に動的です。新しいアップデートが本番環境に次々とリリースされたり、ワークロードが顧客の需要に反応して拡大したり縮小したりしているからです。クラウドエンジニアは、数分以内でインスタンスを作成したり、リソースをクラウドへ完全な配備したりできます。しかし、このように変化が速くなると、リスクも増えます。設定ミスによって引き起こされるシステムの脆弱性は見過ごされがちなため、数か月間検出されないまま放置されてしまうこともあります。その結果、クラウド環境における侵害はその規模と速度が増加しています。クラウドインフラの設定ミスだけでも、2018 年から 2020 年の間に発生した 200 件の侵害で 300 億を超える記録の漏洩の原因になっています。

クラウドの設定ミスによって引き起こされる侵害は、どのようにすれば減らせられるのでしょうか。この投稿では、Tenable.cs と Terraform Cloud Run Tasks の新しい統合を通じて、Tenable と HashiCorp のソリューションがこの問題の解決にどのように役立つのかを説明します。 

クラウドにおけるプロビジョニングと Terraform の概要

クラウドリソースのプロビジョニングというのは、クラウドのワークロードをデプロイメントする際の重要な側面です。ほとんどのクラウドプロバイダーには独自のプロビジョニングユーティリティがあります。しかし、Hashicorp Terraform のような素晴らしいツールを活用すると、クラウドプロバイダーが提供する以上のメリットを享受できます。オープンソースのインフラのコード化 (IaC) ツールである Terraform を使用してインフラをプロビジョニングする場合、環境の管理と運用に多くのメリットがあります。Hashicorp Configuration Language (HCL) が再利用可能なインフラモジュールを標準化し、さまざまなプロジェクトや環境に使用できるようになります。Terraform は、インフラを立ち上げる際に環境の現在の状態を読み取り、環境を IaC で定義された状態に構成するためにどんな変更が必要なのかを判別します。これにより、手動で保守すると破壊してしまう恐れのある複雑なアーキテクチャを管理する際のプロセスが簡単になります。IaC を使用すると、コードのバージョン管理が可能になり、インフラがどのようにプロビジョニングおよび構成されているかをより明確に把握できるようになります。

Terraform のセキュリティに関する主な考慮事項

Terraform にはセキュリティ面のメリットもあります。インフラプロビジョニングのワークフローを使用して、自社環境をセキュリティの問題から保護することができます。IaC を使用して環境の変更を行うと、コードを評価して、インフラをプロビジョニングする前にセキュリティ上の欠陥を確実に検出して減らすことができます。CI/CD パイプラインやゲートなどの自動化手法により、セキュリティや運用上のガードレールを体系化して施行し、環境が自社ポリシーを遵守するように徹底できます。

さて、Terraform などのツールを使えばインフラの管理は簡素化できるのですが、クラウドインフラでは重大な設定ミスが後を絶ちません。Terraform 環境の脆弱性管理に関する主な懸念事項は次のとおりです。

  • 機密情報の管理: Terraform は、コードで指定されたインフラのプロビジョニングを行う API処理を承認するため、資格情報を必要とします。資格情報には、環境を作成、管理、破棄する特権アクセスが含まれているため、許可されていない人やプロセスに露呈しないように注意する必要があります。
  • システムの状態の管理: Terraform では、ステートファイルを使用して、プロビジョニングされたインフラのリソースの状態を追跡します。デフォルトでは、ステートファイルは Terraform を実行するシステムのローカルファイルシステムに保存されます。ステートファイルには秘密情報やその他の機密情報が含まれている可能性があるので、ステートファイルをソースコードと保持することは推奨されません。
  • 依存関係管理: Terraform では、「プロバイダー」と呼ばれるプラグインを使用してリモート API に接続し、コードで定義されたリソースを取得します。「terraform init」コマンドを実行すると、Terraform を実行しているシステムにリソースがダウンロードされます。プロバイダーはインフラで強い権限を持ちながら操作を管理するため、これらプロバイダーが信頼できるソースからダウンロードされていることと、使用する前に改ざんされていないことを確認する必要があります。
  • ドリフト管理: 複雑なエンタープライズ環境では、非常用のメカニズムまたはその他の手段を用いて、実行時に手動で変更を行うことがあります。これらの変更は、ランタイム環境と Terraform コードで定義した環境の間で、「ドリフト」と呼ばれる逸脱を引き起こします。行った変更がソースコードに反映されない場合、ビルドチームは引き続き古いバージョンを使用したり、システムがセキュリティ要件を満たさなくなったりしてしまいます。 

Terraform に関するセキュリティの重要な考慮事項の詳細については、ホワイトペーパー「Terraform が提供するセキュリティについて: DevOps 向けガイド」をご確認ください。  

Tenable.cs による Terraform の脆弱性の防止

Tenable.cs は、開発者向けのクラウドネイティブアプリケーションプロテクションプラットフォーム-Native Application Protection Platform (CNAPP) です。これを利用すると、クラウドリソース、コンテナイメージ、クラウド資産が安全に保たれ、コードからクラウド、ワークロードまでエンドツーエンドでセキュリティを維持できます。ベストプラクティスを実施するために、Terrascan などの静的コード分析ツールを使用してコードを評価することも可能です。Terrascan は、Tenable によって作成されたオープンソースプロジェクトであり、Tenable.cs の基盤となるスキャンエンジンです。 Terrascan には、さまざまなプロバイダーで適用できる、Rego 言語で書かれた数百ものポリシーが用意されており、Open Policy Agent (OPA) エンジンを使用して設定ミスを評価します。これらのポリシーを拡張して、自社環境固有の基準を含めることができます。ワークフローの一部としてこれらのポリシーを施行するには、Terrascan を使用して HCL ファイルの変更をスキャンし、セキュリティ上の問題を検出するジョブを、CI/CD パイプラインに組み込みます。問題が検出された場合、このジョブは失敗し、対応が必要なセキュリティ上の問題が検出されたことを示すエラーメッセージが表示されます。

Tenable.cs を使用すると、クラウド運用チームとセキュリティチームが Terraform テンプレートのポリシー違反を評価できるようになります。クラウドインフラのセキュリティ評価が DevOps パイプラインに統合されので、セキュリティの問題が本番環境で発生するのを防ぐことができます。また、開発ツールで直接 IaC の設定ミスをすばやく修正して、ビルド時と実行時の両方でポリシーを適用することも可能です。
 

Tenable.cs ポリシー不適合
Terraform テンプレートの Tenable.cs ポリシー不適合 (RDS インスタンスでストレージの暗号化が有効になっていない)

Tenable.cs は修正を推奨
Tenable.cs は、ポリシー不適合の解決に修復アクションを推奨 (Terraform テンプレートでストレージの暗号化を有効にする)。

新機能: HashiCorp Terraform Cloud Run Tasks による自動修復サポートの強化

Tenable は、新しく Hashi Corp の Terraform Cloud Run Tasks をサポートすることにより、Terraform の保護機能を強化しました。Terraform Cloud により、Terraform テンプレートを構築およびデプロイメントするためのホスト型ソリューションが提供されます。Terraform Cloud Run Tasks を使用すると、Tenable.cs を活用して Terraform Cloud のデプロイメント中に Terraform テンプレートをスキャンできます。この統合により、Terraform Cloud のユーザーは、Terraform 実行の計画フェーズの一部として Tenable.cs を利用して IaC 内のセキュリティの問題を検出できるようになります。Tenable.cs で Terraform Cloud Run Tasks が利用できるようになったため、開発者は IaC のコンプライアンスとセキュリティのリスクの検出と修正を行い、クラウドインフラがプロビジョニングされる前に問題を軽減することができます。

また、正確な修復手順の把握が困難で、時間がかかる場合があることを想定して、そうした理由から、統合の一環として、推奨される修復事項が、Terraform ワークスペースに関連付けられたソースコードリポジトリへのプルリクエストの形式で提供されるようになりました。Terraform テンプレートで見つかった問題がよりすばやくプロビジョニング前に修正できるようにしています。Tenable.cs で企業向けに提供された 1,500 を超えるポリシーを活用して、Terraform Cloud で詳細なスキャンを実行することもできます。Tenable.cs を Terraform Cloud Workspace に接続する方法に関するセットアップガイドに関心のある方は、こちらから詳細なドキュメントを確認できます。


Tenable.cs の詳細については、データシートをご覧になるか、オンデマンドウェビナー「Tenable.cs の紹介: コードからクラウドへのすべてのステップを保護」をご視聴ください。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

プロモーション価格の有効期間が12月末日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加