導入している PAM の Vault は、人のアイデンティティを確実に保護しているはずです。しかし、マシン アイデンティティも同じように保護できているでしょうか?例えば、午前 3 時にワークロードが自動的に立ち上がり、7 分間だけ実行され本番データベースへのアクセスを必要とする場合があります。また、CI/CD パイプラインが 1,000 個の一時的なワークロードを自動生成し、各ワークロードで異なる権限が求められる場合もあります。現在、マシンと人の割合が 82 対 1 以上で上回るようになる中で、人による手動の作業では追いつかないスピードで認証情報をローテーションすることが求められています。従来の PAM ではこうした環境を管理することが不可能になりつつあります。
CyberArk は、大規模企業への導入経験から人のアイデンティティの管理モデルをマシン アイデンティティに適用するときに発生する以下の 4 つの重大な課題を特定しています。
- コンテナ イメージやコード内に埋め込まれた静的な認証情報
- 統合されていないディレクトリによって情報の一貫性が失われ、各システムが独自の状態を保持してしまう状況
- 過剰な権限が無期限に付与されるサービスアカウント
- どのワークロードが、いつ、どのリソースにアクセスしたかの可視性の欠如
このセッションでは、CyberArk の Secure Workload Access の基盤となる、新しい SPIFFE 標準の観点から、ワークロード アイデンティティの基本について紹介します。トラストドメインがセキュリティ境界を構築する方法、パスワードを使わずにアテステーション(証明)の手法でアイデンティティを確認する方法、ワークロード アイデンティティが単なるシークレット管理にとどまらず、アクセスを要求しているユーザーを明確にする仕組みである理由を学ぶことができます。
セッションの内容:
- 静的な認証情報を全体で一貫して使える一意のアイデンティティに置き換えることで、シークレット漏えいの脅威を軽減する方法
- ラストドメインと相互認証を活用して、オンプレミスからクラウドにわたってワークロードを保護する方法
- 短期間で自動的にローテーションされるアイデンティティによって、シークレット管理を強化する方法
- 自動化、標準的な API、シンプルなサービス認証によって、開発者エクスペリエンスを向上する方法
講演者:
Matt Barker、ワークロード アイデンティティ アーキテクチャ、VP & グローバルヘッド、CyberArk
Joe Garcia、シークレット管理およびセキュア ワークロード アクセス、プリンシパル プロダクト マーケティング マネージャー、CyberArk
