Sysdig

パーミッションとエンタイトルメント

2022

02月

09日

Google Cloudとコンテナの継続的なセキュリティ

本文の内容は、2022年2月8日現在における、docs.sysdig.com上のPermissions and Entitlements(https://docs.sysdig.com/en/docs/sysdig-secure/posture/permissions-and-entitlements/) を元に日本語に翻訳・再構成した内容となっております。

クラウド・サービスの普及に伴い、ユーザのアクセス・ポリシーも変化していますが、大多数の企業は過度に寛容なポリシーを採用しているため、攻撃対象となり、重大なセキュリティ・リスクとなっています。Sysdigのクラウドアカウント向けPermissions and Entitlements (P&E)モジュールを使えば、数分でこれらのリスクを見直し、軽減することができます。

パーミッションとエンタイトルメントについて

Sysdig Secure for cloudにおいて、パーミッションとエンタイトルメントは、Sysdig SecureメニューのPostureナビゲーション・タブにあるCompliance and Benchmarkツールと連携しています。

分析：このインターフェースでは、2つの異なる角度からリスクを迅速に把握することができます。

ユーザに焦点を当てたリスク

過剰なパーミッションを持つユーザ
削除可能な非アクティブなユーザ
不必要なパーミッション

リソースに着目したリスク

リソースにアクセスできる人
過剰なパーミッションを持つユーザーによる、疑わしいクラウドリソースのアクティビティ
最近のパーミッションの変更

修復：このツールは、ユーザーの実際の活動に基づいて、改善されたポリシーを提案します。この提案は、リンクされたAWSコンソールのAWSポリシーにすぐに貼り付けることができます。

提案されたポリシー変更を理解する

過剰なパーミッションを持つユーザーやポリシーが見つかった場合、提案される改善策は2種類あります：

グローバルポリシー変更：この場合、どちらかから対象のポリシー（例：AdministratorAccess）をクリックします。
- ユーザーパネルのポリシーリンク、または
- ポリシーパネルの Optimize Policy ボタン

この権限が付与されているシステムのすべてのユーザーの活動に基づいて、修正されたポリシーが提案されます。

提案されたコードを AWS コンソールの既存のポリシーにコピーします。

ユーザー固有のポリシー：このケースでは、個々のユーザーエントリを調査する際に [Generate User-Specific Policy] をクリックすると、そのユーザーに対して検出されたすべてのポリシーとアクティビティの組み合わせに基づいてポリシーが提案されます。

提案されたコードを、AWSコンソールの新しいユーザーポリシーにコピーします。

ワイルドカード警告の理解

Policies listページでは、ActionまたはResourceにワイルドカードを含むポリシーにフラグを立てます。デフォルトでは、Sysdigが推奨または最適化したポリシーはすべてActionのワイルドカードを削除します。

Sysdigはリソースを検出できないため、ポリシー・コードに含まれるResourceワイルドカードを自動的に修正することはできません。

前提条件

Sysdig Secure for cloud for AWSをTerraformでインストールしていること。
ユーザー、ロール、アクセスに関するポリシーを編集するための適切なAWSパーミッション

制限事項

現在はベータリリース
現時点では、アイデンティティベースのポリシー（マネージドポリシー、インラインポリシー、グループポリシー）のみがパーミッションの計算に考慮されます。リソースベース、パーミッションバウンダリ、組織のSCP、ACL、セッションポリシーは、パーミッションの計算時にまだ考慮されていません。
これらのポリシーの詳細については、こちらを参照してください。
表示されるデータについて2つの注意点があります。
- AWS Last seen timeは、GetServiceLastAccessedDetailsに基づいています。詳細はAmazonのドキュメントを参照してください。
- IAM アイデンティティが使用する AWS パーミッションは、Cloudtrail のログで観測されたユーザーのアクティビティに基づいています。現在のところ、役割を引き受けた後に使用されたパーミッションは考慮されていません。

Overviewへのアクセス

Sysdig Secureにログインします。
[Posture] > [Permissions and Entitlements] > [Overview] を選択します。
様々なパネルからグローバルな権限ポスチャーを確認し、必要に応じてフィルタリングされたリンクを使用して Users と Policies のサブページにアクセスします。

アカウントによるフィルタリング

P&E セクションの各ページでは、デフォルトですべてのユーザーとリソースが表示されます。必要に応じて、ページ上部のAccountsドロップダウンを使用して、単一のクラウドアカウントに焦点を当てることができます。

未使用のパーミッションの確認

パーミッションの総使用量

与えられたパーミッションと実際に使用されたパーミッションの数が一目でわかります。「Used」と「Given」のリンクをクリックすると、関連するポリシーのリストが表示され、未使用のパーミッションの数が多いものを修正することができます。

ユーザー

アクティブなユーザと非アクティブなユーザの数を一目で確認できます。「Active」と「Inactive」のリンクをクリックすると、関連する「Users」と「Roles」のリストが表示され、修正されます。

ポリシーごとの平均パーミッション数

ポリシーごとに付与されたパーミッションの平均数が一目でわかります。アカウントごとに、「ポリシー」のリストをクリックして修正します。

ユーザーごとの平均ポリシー

ユーザーが関連付けられているポリシーの平均数をアカウントごとに一目で確認し、「ユーザーとロール」リストをクリックして修復します。

未使用のパーミッションを持つポリシー

インベントリセクションでは、未使用のパーミッションの数が多いポリシー、ユーザ、ロールをリストの一番上に並べています。クリックしてリストを展開し、修正します。

未使用のパーミッションを持つユーザとロール

[インベントリ] セクションでは、未使用のパーミッションが最も多いポリシー、ユーザー、ロールがリストの一番上に並びます。クリックしてリストを展開し、修正してください。

ユーザーとロール

[Permissions and Entitlements] の [Users and Roles] ページでは、検出されたユーザーやロールの情報を並べ替えたり、フィルタリングしたり、ランク付けしたり、ポリシーのパーミッションを迅速に修正する方法が多数用意されています。

フィルターとソート

利用可能なフィルター：

アカウント別、ユーザ別、ロール別
未使用のパーミッションと非アクティブなユーザおよびロールの比較

テーブルの各列をソートすることで、例えば、付与されたパーミッションの数が最も多いユーザや、未使用のパーミッションの割合が最も高いユーザなどを対象とすることができます。

分析と修復

特定のユーザーまたはロールの権限を削減するには、以下の手順に従います。

ユーザーまたはロールをクリックして、詳細ペインを開きます。上のスクリーンショットの例では、このユーザは、発行された 10,471 個の権限のうち実際には 1 個しかトリガーされておらず、5 つの異なるポリシーに関連付けられています。フルのAdministratorAccessは、ユーザーが行ってきた仕事には必要ありませんでした。
このユーザーが採用したすべてのポリシーとパーミッションを考慮してユーザー固有のポリシーを生成するか、AdministratorAccess などの推奨ポリシーをグローバルに使用するかを決定します。
生成されたポリシーをコピーして、AWSコンソールのポリシーに貼り付けます。

ポリシー

Permissions and Entitlements|Policies ページには、現在 AWS ポリシーのみが表示されます。他のクラウドベンダーも順次追加される予定です。

フィルターとソート

[Users and Roles] ページと同様に、アカウントによるフィルタリングが可能で、テーブルの各列はソート可能です。

最も一般的なソートの優先順位は次のとおりです。

「未使用の割合」または「未使用のパーミッション」：露出度の高いポリシーをすぐにターゲットにして、提案に従って絞り込みます
Shared Policy (# of Users): 最も多くのユーザに影響を与えるポリシーに焦点を当て、グローバルなポリシー変更を行います。
ワイルドカードによる警告：ポリシーのリストでは、リソースやアクションのワイルドカードを含むポリシーがもたらすセキュリティ上のリスクが特に指摘されています。提案されたポリシーでは、Actionワイルドカードが排除されています。