マルチクラウドとハイブリッドクラウドのセキュリティ上の課題

ワークロードをAWS、Azure、GCP、オンプレミスのインフラストラクチャで実行することで、運用の柔軟性が向上します。 一方で、特にマルチクラウドやハイブリッドクラウド環境では、クラウドセキュリティに深刻な課題も生じます。

それぞれの環境は、独自のアイデンティティモデル、ポリシー言語、ログアプローチ、管理方式フレームワークを持っており、一貫したガバナンスを困難にしています。

セキュリティチームは、クラウドネイティブの暗号化デフォルト、クラウドアイデンティティフェデレーション設定、ログスキーマなど、相反する設定をやりくりすることがよくあります。

こうした違いは、補償の格差や、見落としや人為的ミスの可能性の増加といったリスクを生みます。

AWSの設定ミスは直ちに影響を及ぼさないかもしれないが、過剰に許可されたAzureアイデンティティや設定ミスのオンプレミスファイル共有に接続すると、サイバーエクスポージャーが拡大する可能性があります。

チームの規模が大きくなればなるほど、この複雑さは増していきます。 環境間で異なるDevOpsパイプライン、ツール、セキュリティ体制では、クラウドとアイデンティティの設定ミスの検出と修正が難しくなります。 その結果、アタックサーフェスが分断され、攻撃者にとってラテラルムーブメントが起きやすくなります。

AWS、Azure、GCPは同様のセキュリティ原則を提供しているが、その実装は様々です。

AWSはアイデンティティとアクセス管理（IAM）ポリシーに依存し、Azureはロールベースのアクセス制御（RBAC）を使用し、GCPはサービスアカウントとリソースレベルの権限によってアクセスを管理します。

このような違いが、プロバイダー特有のリスクを生み出しています。

• AWSはs3:*のようなワイルドカードパーミッションを許可するかもしれません。
• Azure は、古くなったユーザー・オブジェクトや、強化が不十分な条件付きアクセスを許可している可能性があります。
• GCPのデフォルトのサービスアカウントは寛容で、最小権限と一致することはほとんどありません。

ハイブリッド・クラウドのリスクは、サービスがこれらのプラットフォームを橋渡しするときに増大します。 例えば、GCP 関数は、管理されていないシークレットマネージャーに保存されている API キーを使用して、Azure 仮想マシンからテレメトリを取得することができます。

攻撃者がこのキーを侵害すると、両方のクラウドにまたがるシステムへのアクセスが許可されます。

責任共有モデルでは、クラウドプロバイダーがインフラを担う一方で、アイデンティティやワークロード、設定のセキュリティは利用者側が担います。

マルチクラウドのセキュリティの課題は、コンフィギュレーションのドリフトや一貫性のないアイデンティティ実施に起因することが多いです。

主な問題には、以下のようなものがあります。

• ストレージ、コンテナ、APIへの無制限アクセス
• 過度なIAM権限、古くなったサービスアカウント、孤立したアクセスキー
• クラウド間、またはクラウドとオンプレミス間の監視されていないトラフィックフロー
• MFA実施またはSSOフェデレーションにおけるギャップ
• 環境間で重複する役割定義

実際には、これらの欠点が組み合わさっています。 AWSのストレージバケットはインターネットに公開されているかもしれません。 それだけでも危険です。 しかし、未使用の管理権限を持つAzureサービスプリンシパルがアクセスし、双方がログを有効にしていなければ、攻撃者は検出することなくデータを流出させることができます。

統合されたアイデンティティガバナンスがないと、チームはアクセス許可の監査や未使用のアクセス権の取り消しに苦労します。 これは、攻撃者の権限昇格やラテラルムーブメントを防ぐ能力を弱めることになります。

クラウドのリスクに先手を打つには、あらゆる環境を明確に可視化する必要があるが、ほとんどのチームはバラバラのツールを使っています。

ダッシュボードを切り替え、クラウドごとに異なるスキャンを実行し、重複するポリシーを管理するため、盲点が生まれ、作業が遅くなり、余分な作業が増えます。

マルチクラウドの可視性を強化するためには、以下の対策が有効です。

• クラウド間でログの取り込みを標準化し、一元化されたSIEMにデータを送信します。
• プラットフォーム間でのロールとアイデンティティの使用状況をマッピングし、過剰な権限付与を検出します。
• デプロイメント前にインフラのコード化テンプレートをスキャンし、ドリフトを防止します。
• クラウドとオンプレミスで統一されたタグ付けと資産インベントリーの実施
• NIST CSF、ISO/IEC 27001、FedRAMPなどの共有クラウドコンプライアンスフレームワークを使用して、ポリシーの設計とレポーティングをガイドします。

ハイブリッド・クラウドのリスク低減には、統合された可視性が不可欠です。 監査役や規制当局は、クラウド・コントロールが地域やプラットフォーム間で一貫して機能していることの証明を求めています。 クラウドにまたがるコンテキストがなければ、暗号化、セグメンテーション、アクセスコントロールを証明することは難しいです。

強力なマルチクラウドセキュリティ戦略は、ツールが異なっていても、環境間で一貫したプラクティスを適用します。

ハイブリッドクラウドセキュリティのリスクを軽減するためのベストプラクティスををいくつか提案します。

• フェデレーション・アイデンティティを採用し、アクセス制御を一元化し、認証情報の乱立を減らします。
• すべての環境でシングルサインオン（SSO）と条件付きアクセスを使用します。
• 不要なアクセスがないか、サービスアカウント、ロール、権限を監査
• 設定ミス、アイデンティティ、機密データの有害な組み合わせをモニタリング
• ポリシーのコード化により、クラウドとオンプレミスのインフラに同じ施行ルールを適用
• ランタイム・テレメトリーを組み込んで、コンフィギュレーションの状態と動作を関連付けます。

このアプローチは、最小権限を強制する能力を強化し、検出パイプラインのノイズを減らします。 さまざまなツールからのアラートを追いかける代わりに、チームはクラウドセキュリティの真の課題に集中することができます。

これらのつながりをリアルタイムでマッピングする方法をお探しですか？ クラウドでのサイバーエクスポージャー管理により、リスクコンテキストを統一し、攻撃者が横方向に移動する前にエクスプロイト経路を断ち切る方法をご覧ください。