Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2022年2月8日現在における、docs.sysdig.com上のPermissions and Entitlements(https://docs.sysdig.com/en/docs/sysdig-secure/posture/permissions-and-entitlements/) を元に日本語に翻訳・再構成した内容となっております。
クラウド・サービスの普及に伴い、ユーザのアクセス・ポリシーも変化していますが、大多数の企業は過度に寛容なポリシーを採用しているため、攻撃対象となり、重大なセキュリティ・リスクとなっています。Sysdigのクラウドアカウント向けPermissions and Entitlements (P&E)モジュールを使えば、数分でこれらのリスクを見直し、軽減することができます。
Sysdig Secure for cloudにおいて、パーミッションとエンタイトルメントは、Sysdig SecureメニューのPostureナビゲーション・タブにあるCompliance and Benchmarkツールと連携しています。
分析:このインターフェースでは、2つの異なる角度からリスクを迅速に把握することができます。
ユーザに焦点を当てたリスク
リソースに着目したリスク
修復:このツールは、ユーザーの実際の活動に基づいて、改善されたポリシーを提案します。この提案は、リンクされたAWSコンソールのAWSポリシーにすぐに貼り付けることができます。
過剰なパーミッションを持つユーザーやポリシーが見つかった場合、提案される改善策は2種類あります:
Optimize Policy
ボタン
この権限が付与されているシステムのすべてのユーザーの活動に基づいて、修正されたポリシーが提案されます。
提案されたコードを AWS コンソールの既存のポリシーにコピーします。
提案されたコードを、AWSコンソールの新しいユーザーポリシーにコピーします。
Policies listページでは、ActionまたはResourceにワイルドカードを含むポリシーにフラグを立てます。デフォルトでは、Sysdigが推奨または最適化したポリシーはすべてActionのワイルドカードを削除します。
Sysdigはリソースを検出できないため、ポリシー・コードに含まれるResourceワイルドカードを自動的に修正することはできません。
P&E セクションの各ページでは、デフォルトですべてのユーザーとリソースが表示されます。必要に応じて、ページ上部のAccountsドロップダウンを使用して、単一のクラウドアカウントに焦点を当てることができます。
与えられたパーミッションと実際に使用されたパーミッションの数が一目でわかります。「Used」と「Given」のリンクをクリックすると、関連するポリシーのリストが表示され、未使用のパーミッションの数が多いものを修正することができます。
アクティブなユーザと非アクティブなユーザの数を一目で確認できます。「Active」と「Inactive」のリンクをクリックすると、関連する「Users」と「Roles」のリストが表示され、修正されます。
ポリシーごとに付与されたパーミッションの平均数が一目でわかります。 アカウントごとに、「ポリシー」のリストをクリックして修正します。
ユーザーが関連付けられているポリシーの平均数をアカウントごとに一目で確認し、「ユーザーとロール」リストをクリックして修復します。
インベントリセクションでは、未使用のパーミッションの数が多いポリシー、ユーザ、ロールをリストの一番上に並べています。クリックしてリストを展開し、修正します。
[インベントリ] セクションでは、未使用のパーミッションが最も多いポリシー、ユーザー、ロールがリストの一番上に並びます。クリックしてリストを展開し、修正してください。
[Permissions and Entitlements] の [Users and Roles] ページでは、検出されたユーザーやロールの情報を並べ替えたり、フィルタリングしたり、ランク付けしたり、ポリシーのパーミッションを迅速に修正する方法が多数用意されています。
利用可能なフィルター:
テーブルの各列をソートすることで、例えば、付与されたパーミッションの数が最も多いユーザや、未使用のパーミッションの割合が最も高いユーザなどを対象とすることができます。
特定のユーザーまたはロールの権限を削減するには、以下の手順に従います。
Permissions and Entitlements|Policies ページには、現在 AWS ポリシーのみが表示されます。他のクラウド ベンダーも順次追加される予定です。
[Users and Roles] ページと同様に、アカウントによるフィルタリングが可能で、テーブルの各列はソート可能です。
最も一般的なソートの優先順位は次のとおりです。
特定のポリシーのエンタイトルメントをグローバルに削減するには、以下の手順に従います。
姿勢のリソース
Resources ページは、今後のリリースでさらに開発される予定です。
現時点では、S3バケットの情報を使って、現在Publicに設定されているすべてのS3バケットを確認し、必要に応じてAWSコンソールでPrivateに切り替えることができます。
ブログにも詳細な説明があります。
Sysdig Secureによるクラウド・インフラストラクチャー・エンタイトルメント・マネジメント(CIEM)