IaC(コードとしてのインフラストラクチャ ) のセキュリティの定義
IaC(コードとしてのインフラストラクチャ)のセキュリティは、展開されたクラウドリソースをスキャンするのではなく、IaCレイヤーのセキュリティ設定の問題に対処する慣行です。実際、IaCスクリプトプロセスにセキュリティを直接シフトレフトすることで、IaCリソースが展開される前にセキュリティの問題に対処できます。
IaC開発速度の速さを考慮すると、わずかなセキュリティの設定ミスがIaCスクリプトにあると、その後のすべての展開に影響を与える可能性は十分にあります。これにより、誤った権限などの小さな問題が重大な脆弱性につながる可能性があります。IaCセキュリティは、これらの問題を発生する前に捉えようとします。
IaC(コードとしてのインフラストラクチャ )のセキュリティの利点
IaC(コードとしてのインフラストラクチャ)により、開発者はより迅速にリソースを展開し、複製可能でスケーラブルなインフラストラクチャを作成し、設定を自動化して時間とリソースを節約できます。ただし、この固有の速度と自動化機能のため、IaCには対処する必要のあるいくつかの課題があります。その1つがセキュリティです。IaCを保護するというよりも、IaC(コードとしてのインフラストラクチャ)のセキュリティは、セキュリティプロトコルと確認機能をIaCプロセスに統合し、セキュリティの自動化を実現します。
IaC全体と同様に、これによりセキュリティの取り組みが統一され、展開に対して信頼できる唯一の情報源が作成されます。また、セキュリティスクリプトをIaCレイヤーに直接埋め込むことで、変更の実行ログが作成され、展開に問題があることが判明すると明確なロールバックパスが提供されます。
IaC(コードとしてのインフラストラクチャ )のセキュリティ
IaCセキュリティはセキュリティ上の重点を直接的にIaCレイヤーに戻す必要があるため、SDLC(ソフトウェア開発ライフサイクル) のすべての段階にセキュリテタスクを実装することが重要です。これには、各段階でのセキュリティを考慮して、脆弱性に対処するポリシーを実装することが必要になります。
- イメージの脆弱性:IaCテンプレートの作成にベースイメージを使用すると、イメージが信頼できるレジストリーから提供されていない場合、脆弱性が生じる可能性があります。これは、テンプレートが展開されるときにさらに広がることで、修復のコストが増加します。
- 設定のドリフト:設定のドリフトはインフラストラクチャに対する変更に応じて蓄積される可能性があります。これは、人的ミス、不適切な設定、またはアプリケーションへの意図しない変更が原因で発生する場合や、クラウド環境を手動で変更した場合に発生する場合があります。
- アクセス管理:開発者は、作業を行うためにセキュリティ保護されたシステムへのアクセスが必要な場合があります。組織全体にグローバル権限を適用することは一般的ですが、ユーザーに必要以上の権限を付与すると、ハッキングや人為ミスが発生した場合に意図しない結果につながる可能性があります。
- シークレット管理:シークレットには、アプリケーショントークン、SSHキー、パスワードなどの重要な情報が含まれています。シークレットを保存する場所によって、セキュリティに劇的な影響を与える可能性があります。
- ゴーストリソース:アセットにタグ付けすることは、アセットが適切に機能し制御されるようにするために重要です。アセットにタグを付けないと、利用料金が蓄積することになる「ゴースト」リソースが発生し、潜在的な攻撃ベクトルが作成され、クラウド環境で完全に可視化することが困難になる可能性があります。
IaC(コードとしてのインフラストラクチャ )のセキュリティのスキャンとは?
IaCスキャンは、提案されたテンプレートを展開する前に、事前に検査する方法です。CrowdStike Falcon® Cloud Securityなどのスキャンツールは、IaCファイルを検査して、設定ミスやパラメータの欠落がないか調査します。
Falcon Cloud Securityを使用すると、ボタンを押すだけでIaCスクリプトを保護できます。このツールはコードを分析し、設定ミスを検出するとアラートを送信します。また、修復する際のヒントも提供します。脆弱性が修正されると、再度スキャンを実行してコンプライアンスを確認できます。
詳細
IaC(コードとしてのインフラストラクチャ)がクラウド環境に大きなリスクをもたらすことがあります。設定ミスや脆弱性が1つあるだけで、それがすべてのアプリケーションに存在することになります。CrowdStrike Falcon® Cloud SecurityのIaCスキャンが、設定ミスや脆弱性をどのようにして初めからプロアクティブに阻止するかをご確認ください。
IaC(コードとしてのインフラストラクチャ )のセキュリティツール
クラウドプロバイダーとIaCプラットフォームに応じて、IaC(コードとしてのインフラストラクチャ )の豊富なセキュリティツールを利用できます。各プロバイダーは独自のセキュリティツールを持っているだけでなく、さまざまなオープンソースプロバイダーやプラットフォームサポートプロバイダーが、ほぼすべてのワークフローに適合するツールを作成しています。
| ツール/プラットフォーム | 説明 |
|---|---|
| CrowdStrike Falcon Cloud Security | Falcon Cloud Securityは、スキャン、ランタイム保護、権限管理など、IaCワークフロー向けのセキュリティサービス一式を提供するクラウドネイティブプラットフォームです。 |
| Checkov | Checkovは、コードとしてのインフラストラクチャ用のオープンソースの静的分析ツールです。Terraform、AWS CloudFormation、Kubernetes YAML、およびARMなど複数のIaC言語をサポートします。Checkovはコードをスキャンしてセキュリティの問題とコンプライアンスの問題を確認し、脆弱性を修復するための実用的なインサイトを提供します。 |
| Terrascan | Terrascanは、Accuricsが開発してオープンソースの静的コード分析ツールです。Terraformコードをスキャンし、ベストプラクティスとコンプライアンス標準に基づいてセキュリティの脆弱性と設定ミスを特定します。 |
| KICS(IaC(コードとしてのインフラストラクチャ )のセキュリティの維持) | KICSは、オープンソースのIaCセキュリティスキャンツールで、Terraform、AWS CloudFormation、Kubernetes YAML、Dockerfileなどの複数のIaC言語をサポートします。コードリポジトリとインフラストラクチャの設定をスキャンして、セキュリティの脆弱性とコンプライアンス違反を検出します。 |
| Conftest | Conftestは、構造化された設定データのテストを記述することのできるオープンソースツールです。Terraform設定、Kubernetes YAML、JSONなど複数のデータ形式をサポートします。Conftestを使用すると、IaCファイル全体にセキュリティポリシーとベストプラクティスを適用できます。 |
| TFSec | TFSecはTerraformコード用の軽量な静的分析ツールです。Terraform設定をスキャンして、過度に権限を付与しているIAM(アイデンティティおよびアクセス管理) ポリシー、安全でないリソース設定、機密データの漏洩などのセキュリティ問題を特定します。 |
| Bridgecrew | Bridgecrewは、IaCセキュリティとコンプライアンス用のオープンソースプラットフォームを提供します。Terraform、AWS CloudFormation、Kubernetesなどの一般的なIaCツールと統合して、セキュリティの脆弱性やコンプライアンス違反を常時スキャンとモニタリングを実行できます。 |
| OPA (Open Policy Agent) | OPAはオープンソースのポリシーエンジンで、IaCを含むソフトウェア開発ライフサイクルのさまざまな段階でポリシーを定義して適用できます。OPAはTerraformやKubernetesなどのツールと統合し、セキュリティポリシーとベストプラクティスを適用できます。 |
IaC(コードとしてのインフラストラクチャ )のセキュリティのベストプラクティス
共通のIaCセキュリティの課題に対処できる一般的なベストプラクティスを次に示します。
- IDEエンジン:統合開発環境 (IDE) でセキュリティプラグインを利用することで、早期に潜在的なリスクを検知できます。これにより、IDEでの作業中に迅速なフィードバックが提供され、SDLCで後から問題に対処する時間が短縮されます。
- 脅威のモデリング:SDLCの早い段階で、インフラストラクチャに対する最も重大なリスクを特定し、優先順位を付けます。これにより、SDLCを通じて潜在的なリスクに対処する準備ができ、それらのリスクに柔軟に対応できます。
- 最小特権の原則:ユーザーがタスクを実行するために必要な最小限のアクセス権とアクセスレベルのみを付与します。これにより、侵害やサイバー攻撃が発生した場合に、侵害された1つの認証情報によってもたらされる可能性のある損害を制限できます。
- シークレットの管理:シークレットのセキュリティを保護しながらアクセス可能にできます。シークレットの脆弱性をスキャンできるさまざまなオープンソースツールが用意されています。
- ネットワークセグメンテーション:テスト環境と本番環境を分割し、可能な限り厳密にミラーリングします。
- 動的テスト:Falcon Cloud Securityなどのツールを使用して、展開前にポリシーの逸脱や潜在的な脆弱性をスキャンします。
- インフラストラクチャの不変性:イミュータブルインフラストラクチャは、展開後のインフラストラクチャを変更できないようにすることで、潜在的なリスクを削減します。ポリシーとコントロールを使用して、進化するニーズにインフラストラクチャを適合させることができます。インフラストラクチャを変更する必要がある場合、まったく新しいインフラストラクチャを展開しなければなりません。その場合、既存のインフラストラクチャは使用を終了させる必要があります。
- ログ記録:ログは、変更が記録され攻撃を迅速に特定できるようにするための重要な要素です。監査とセキュリティのログ記録を有効にすると、インシデントの根本原因を分析して、迅速な復旧を実行できます。
- 脅威の検知:ランタイムの脅威の検出により、予期せぬ振る舞いや潜在的な脅威を発生した際に特定できます。迅速に脅威を特定することで、対応も迅速になります。
クラウドストライクが問題解消にどう貢献できるか
IaC(コードとしてのインフラストラクチャ)を実装することで、迅速な展開、SDLCの合理化、クラウドインフラストラクチャの統合が実現し、最終的には時間とリソースの節約につながります。ただし、IaCには軽減する必要のある固有のセキュリティリスクが含まれています。CrowdStrike Falcon Cloud Securityは、IaCワークフローと統合したクラウドネイティブなフルスタックセキュリティを提供し、設定ミスの検知、侵害の防御、クラウド展開の最適化を実現します。デモをご覧ください。
IaC(コードとしてのインフラストラクチャ)セキュリティに関するFAQ
Q:IaC(コードとしてのインフラストラクチャ)セキュリティとは何ですか?
A:IaC(コードとしてのインフラストラクチャ)セキュリティとは、コードとして記述されたインフラストラクチャ設定を保護する手法です。これにより、クラウドリソースがセキュリティのベストプラクティスに従ってプロビジョニングされ、設定ミスや脆弱性のリスクが削減されます。
Q:IaC(コードとしてのインフラストラクチャ)セキュリティの3つの種類は何ですか?
A:IaCセキュリティには次の3つの種類があります。
- SAST(静的分析セキュリティテスト):展開前にIaCの設定ミスを特定します。
- ランタイムセキュリティモニタリング:ライブインフラストラクチャにおける不正な変更を検出します。
- コードとしてのポリシーの適用:セキュリティポリシーと規制へのコンプライアンスを保証します。
Q:IaC認証とは何ですか?
A:IaC認証とは、RBAC(ロールベースのアクセス制御)、アイデンティティフェデレーション、APIキー管理などの認証メカニズムを適用してインフラストラクチャコードを保護し、承認されたユーザーとサービスのみがインフラストラクチャ設定を変更できるようにすることです。
Q:IaCコンプライアンスとは何ですか?
A:IaCコンプライアンスとは、インフラストラクチャコードがNIST、CISベンチマーク、GDPR、HIPAAなどの業界のセキュリティ標準と規制に準拠していることを保証することです。コンプライアンスは、自動化されたポリシー適用、セキュリティスキャン、およびインフラストラクチャ設定の継続的モニタリングを通じて維持されます。
Q:IaCはDevOpsと同じですか?
A:いいえ、IaCとDevOpsは同じではありません。IaCはコードを使用してインフラストラクチャのプロビジョニングを自動化する手法ですが、DevOpsはソフトウェア開発とIT運用を組み合わせて継続的デリバリーと展開を可能にする、より広範な手法です。IaCはDevOpsの主要コンポーネントですが、DevOpsの理念全体を網羅しているわけではありません。
コディ・クイーン(Cody Queen)は、クラウドストライクのクラウドセキュリティを担当する、シニアプロダクトマーケティングマネージャーです。
