安全なデブオプス環境を確保する。

デブオプスの急激な発展により、自動化され統一化されたダイナミックなプロセスを使って、いち早く市場にソリューションを提供する素晴らしい機会が生まれてきました。こうしたコンテナ・エコシステムが継続的なインテグレーションに焦点を合わせる一方、これは基本的に安全性ということを念頭に入れてデザインされたものではありませんでした。その結果、スピード、能率、セキュリティのバランスを取ることが、組織にとって難しくなってきています。

これは特に特権アカウントに関してに明らかです。このダイナミックなデブオプスの環境のもと、新しい特権アカウントがITのインフラの中で急激に広がっています。その結果、攻撃にさらされやすい状況がさらに広がっています。アタッカー達にとって広い攻撃範囲が得られるこの環境は、まったく彼らの好むところです。特権認証情報は、自動化、コンフィギュレーション、オーケストレーションツールなど、多くのデブオプス環境の中に埋め込まれています。このように埋め込まれ、共有された認証情報を、継続的なインテグレーションや継続的な開発 (CI/CD)のワークフローを乱さずに保護したりローテートさせたりするのは難しい状況です。しかしながら、開発に携わる人々はより能率よく作業するためにこのように使いやすいCI/CD ワークフローを求め、ハートビートのユーザー(例えばIT関係や総務担当など)は必要以上に特権情報を持つことになります。その結果、それぞれのユーザーがシステムを管理し、コードを開発し、製品環境に完全アクセスできることになります。

アクティブでめまぐるしく変化するデブオプスの環境において、現代の組織は視覚的な管理やすべてのアカウントをコントロールすることが、非常に難しくなっています。

デブオプス環境を守り、特権アカウントを堅固にし、そして最終的にはデーターの漏洩やその他の危害を防ぐために、組織はそれを可能にするセキュリティコントロールを積極的に取り入れていかなければなりません。

  • 特権アカウントへのアクセスを管理、保護、コントロールする。デブオプス環境にある特権アカウントはすべて、管理され保護されなければいけません。その一環として、認証情報は中枢に保管され、定期的にローテートしていく必要があります。職務を確実に分離するためにも、認証情報へのアクセスは管理されなければならず、そうすることによって、認可されたユーザーのみが特権アカウントにアクセスすることができるようになります。
  • アプリケーション及びスクリプトで使用された認証情報を保護する。重要なリソースを認可したりアクセスするために、なんらかのデブオプスの方法で使用された認証情報は、管理され保護されなければいけません。そうした情報はコードやコンフィギュレーションファイルから除去され、中枢レポジトリーに保管され、定期的にローテートされなければなりません。さらに、それぞれのアプリケーションに独自のアカウントと認証情報があると良いでしょう。こうした認証情報は使われなくなったらすぐに消去されなければいけません。
  • 重要なデブオプスのリソースへのアプリとコンテナーアクセスを認証、認可する。悪質なアプリをデブオプスのエコシステムから追放するために、別のデブオプスリソースへアクセスするリクエストや、アプリケーションとサービス間のウェブリクエストは、リクエストしている側(アプリとコンテナー)の信憑性が認証された後のみに認可されるべきです。
  • 最小特権を実行生産性に影響を与えることなく、失敗と特権侵害のリスクを軽減するために、組織は特権アカウントへのアクセスを限定し、特権への進行を中央で管理するべきです。これは特にサービスアカウントの場合に重要になります。:COTS または CI/CDツールで使用されたものはどれも、最小特権を維持しつつ組織のアクセスポリシーに遵守し、その上で自動化されたプロセスで設定或いは非設定されるべきです。
  • モニターユーザーアクティビティソフトウェア開発のライフサイクルを通じて開発作業を追跡する上で、誰が画像を製作してRegistryに追加したか、また誰が特権、ネームプレース、プロセス、ポリシーを変更したか、を知ることは環境管理を維持するために必要なことです。

重要なリソースにアクセスするために必要とされる特権認証情報が安全であれば、デブオプス環境も安全です。危害を及ぼそうとするアタッカー達は、コンテナーエコシステムの中で急激に増えつつある特権アカウントの存在を知っており、その結果彼らは、サイバーアタックを成功させるための正当な近道 として特権アカウントを狙ってくるのです。だからこそ後で後悔しないように、新しいユーザーやアセットが設定されたときに、展開ライフサイクルで用いられた特権認証情報はしっかりと防御されなければならないのです。

The CyberArk Privileged Account Security Solution はデブオプスのパイプラインの中に組み込まれ、それぞれの特権アカウントが製作された直後から、それを保護しています。

重要な利点:

  • 認証情報を中央で保護し管理する。ユーザー、アプリケーション、デブオプスツールの特権認証情報 (パスワード、 SSH キー 及び API キー) を、製作されると同時に自動的に保護、管理します。
  • アプリケーションとデブオプスリソースによって使用された認証情報を保護、管理、監査する。 アプリケーション、ツール、スクリプトに埋め込まれている認証情報へのアクセスを中央で保管、保護、管理します。
  • 粒度の細かい「最小特権」アクセスコントロール。特権ユーザーが役割とタスクに応じてアクセスする、デブオプスリソースをコントロールすることにより、 「最小特権」のポリシーを実行します。
  • 重要なデブオプスリソースへのユーザーアクセスを保護しコントロールする。コントロールと明確さを最大限にするシングルアクセスコントロールポイントにより、デブオプスリソースへのアクセスを中央化します。
  • 特権ユーザーのアクティビティを絶え間なくモニターし、不審な動きを警告。不正や不審なアクティビティをモニターし、分析し、素早く探知します。環境への有害なインパクトを軽減します。

デブオプス環境での特権アカウントの保護についての詳細は、こちらの 連絡先までどうぞ。