今日のデジタル企業は、ビジネスを実行するために、市販または社内開発のオープンソースアプリケーションに依存しています。また、開発と革新を加速させるために、自動化されたITインフラストラクチャやDevOps手法をますます活用しています。アプリケーションおよびIT環境はそれぞれの組織によって大きく異なりますが、常に一定して変わらないことがひとつあります。つまり、他のツール、アプリケーション、データにアクセスするために、すべてのアプリケーション、スクリプト、自動化ツール、その他の人以外のIDが何らかの形式の特権認証情報に依存しています。
シークレットとは?
人以外に紐づく特権認証情報は、しばしば「シークレット」と呼ばれます。ツール、アプリケーション、コンテナ、DevOps、クラウドネイティブ環境で保護されているリソースまたは機密情報のロックを解除してプライベートな情報を参照する鍵の役割を果たします。
最も一般的なシークレットのタイプは以下のとおりです:
- 特権アカウント認証情報
- パスワード
- 証明書
- SSHキー
- APIキー
- 暗号化キー
シークレットの管理における主な課題
シークレットにアクセスできる人以外のユーザーは、シークレットのオーナーに属している任意のリソースへのリアルタイムのアクセスと許可を自動的に取得します。サイバー攻撃者はこれを理解しています。シークレットを標的にして、別のシークレットやホストへの不正アクセスを取得して、攻撃が続けられます。シークレットを狙ったサイバー攻撃は、多くの場合、最初の侵害の範囲をはるかに超えて広がっていく可能性があります。
増え続けるシークレット。
コンテナ化されたアプリケーション(例:Red Hat OpenShift、Kubernetes、Pivotal)、自動化プロセス(例:Ansible Playbook、Puppet、Chef)、ビジネスクリティカルなアプリケーションに埋め込まれたハードコード化された認証情報が含まれます。これには、社内で開発されたソリューションおよび市販ソリューション(COTS)の両方、セキュリティソフトウェア(脆弱性スキャナーなど)、アプリケーションサーバーやIT管理ソフトウェア、ロボテックプロセスオートメーション(RPA)プラットフォーム、継続的インテグレーション/連続展開(CI/CD)ツールチェーンが含まれます。
自動化されたプロセスは非常に強力です。
保護されたデータにアクセスでき、比類のない速度でスケーリングを行い、クラウドリソースを活用してビジネスプロセスを即座に実行します。しかし、よく知られているサイバーセキュリティ侵害で示されているように、自動化されたプロセスは高度なサイバー攻撃の影響を受けやすく、しかもそれは突然発生し、急速に広がる可能性があります。組織は人以外のIDに割り当てられたシークレットを保護する必要があります。
シークレット管理とは?
デジタルビジネス向けのサイバーセキュリティのベストプラクティス、シークレット管理により、組織は人以外のIDに対してセキュリティポリシーを一貫して実施できます。シークレット管理は、認証および承認されたエンティティのみがアクセスできるようにして、ツールスタック、プラットフォーム、クラウド環境全体にわたってリソースを保証します。
通常、以下の手順がシークレット管理イニシアチブに含まれています。これらのアプローチや手法の多くは、人のユーザーによる特権アクセスの保護にも使用されます。
- 人以外の認証情報を使用するすべてのアクセス要求を認証。
- 最小特権の原則を実施。.
- ロールベースのアクセスコントロール(RBAC)およびシークレットと認証情報の定期的なローテーションを実施。.
- シークレット管理を自動化し、一貫したアクセスポリシーを適用。
- すべてのアクセスを追跡し、包括的な監査を維持。
- コード、構成ファイル、およびその他の保護されていない領域からシークレットを削除。
一般的なシークレット管理のユースケース?
CI / CDパイプラインを保護するための秘密管理。
効率向上と迅速化が目的であるJenkins、Ansible、Puppet、Chefなどの一般的なCI/CDパイプラインツールでは、新たなセキュリティ上の課題が生じる可能性があります。これらの自動構成管理ツールが保護されたリソース(データベース、SSHサーバー、HTTPsサービスなど)にアクセスするにはシークレットが必要です。これらのシークレットは、多くの場合、ハードコード化が安全ではなく、ツールの構成ファイルまたはコードに保存されています(例:JenkinsFiles、プレイブック、スクリプト、ソースコード)。効果的なシークレット管理により、組織はCI/CDパイプライン内のハードコード化されたシークレットをDevOpsツールから削除でき、完全な監査証跡、ポリシーベースのRBAC、シークレットローテーションを行うことができます。
CI/CDパイプラインを保護するためのシークレット管理。
DevOpsおよびエンジニアリングチームは、開発を加速し、移植性と生産性を改善するために、ますますますコンテナに依存しています。コンテナには、重要かつ機密情報にアクセスするためのシークレットが必要です。ただし、コンテナは一時的(または短期的)であるため、追跡が困難な場合があり、特定のリソースへのアクセスの管理と保護が困難になる場合があります。シークレット管理セキュリティ対策により、チームを有効化して、ネイティブコンテナプラットフォーム属性を持つシークレットのコンテナリクエストを認証できます。また、RBACポリシーでシークレットを管理してきめ細かに制御できます。
シークレット管理により、柔軟で自動スケーリング環境を管理。
クラウドプロバイダーは、柔軟性(一時的)および経済的な従量制をサポートする自動スケーリング機能を提供しています。これにより効率が向上しますが、特にスケーラビリティに関する新たなセキュリティ管理の課題も生じます。シークレット管理のベストプラクティスを実装することにより、組織はリアルタイムでホストにIDを割り当て、定義済みのセキュリティポリシーに基づいて呼び出し元アプリケーションを安全に認証することにより、人的オペレーターが新しい各ホストにポリシーを手動で適用する必要性をなくすことができます。
内部で開発されたアプリケーションとCOTSアプリケーションを保護するシークレット管理。
内部で開発されたアプリケーションやスクリプトとともに、セキュリティツール、RPA、自動化ツール、IT管理ツールなどのサードパーティのツールとソリューションには、多くの場合、特定のタスクを完了するために、企業のインフラストラクチャ全体にわたって高レベルの特権アクセスが必要です。効果的なシークレット管理プラクティスでは、リスクを最小限に抑えるために、社内で開発されたアプリケーションやスクリプトからハードコード化された認証情報を削除し、すべてのシークレットを一元的に保存、管理、ローテーションする必要があります。