ry's Tech blog

Cloud Native技術などについて書いていきます。

Kubenews #35

kubenews

2021-10-15

How to Start your Cloud Security Journey (click here to source)

クラウドセキュリティの旅を始める上で重要な重点分野のいくつかは次のとおりです。

  • 脅威モデリング
  • セキュリティの設定ミスの修正
  • ネットワークアクセス
  • クラウドリソースへのアクセスの改善
  • IAMポリシーの保護
  • ロギングとモニタリングの実装

脅威モデリング

脅威モデリングは、脅威を特定し、システムへの脅威を防止または軽減するための対策を定義するプロセスです。

脅威のモデリングに関連する手順:

  1. アーキテクチャ図を作成する
  2. 脅威を特定する
  3. 軽減する
  4. 検証

セキュリティ設定ミスの修正

このレポートによると、クラウド脆弱性の95%以上がクラウドの構成ミスに関連しています。

Prowler

Prowlerは、AWSのみに対応しており、クラウドセキュリティの設定ミスを特定するのに役立つオープンソースのセキュリティ監査ツールです。

主な機能として、クラウドアカウントのセキュリティの脆弱性のリストを提供します。

調査結果をHTML、CSVJSON、またはjson-asff形式でエクスポートできます。

Prowlerは、AWS Security Hubと統合することが可能です。

Security Hubを使用すると、Prowlerだけでなく、AWS GuardDuty、Inspector、Macieなどの複数のAWSサービスからのセキュリティアラートまたは検出結果を集約、整理、および優先順位付けすることが可能です。

ネットワークアクセス

クラウド環境のアーキテクチャを評価するには、ネットワーク図が必要です。

CloudMapper

CloudMapperは、アマゾンウェブサービスAWS)環境の分析に役立ちます。

ネットワーク図の作成を支援し、ブラウザに表示します。

ネットワークセグメンテーション

ネットワークセグメンテーションを実装することにより、ネットワークの攻撃対象領域を減らします。

フェイルオープンではなく、フェイルセーフネットワークアクセスアプローチを採用することを検討してください。

  • フェイルセーフ
    • 操作方法を間違ったり、部品が壊れたり、誤作動したりした場合に、危ない方向ではなく、安全な方向へ向かうように設計すること

クラウドリソースへのアクセスの改善

クラウドリソースへの接続には、安全でプライベートなアクセスが必要です。

これを実現するために様々な方法があります。

  • VPNセットアップ
  • bastion/Jump Box
  • KeycloakやTeleportなどの中央認証システム
  • AWS SSM

IAMポリシーの保護

ユーザーアクセスポリシー(IAMポリシー)は、クラウドインフラストラクチャを保護するのに役立つもう1つのコアコントロールです。

IAMポリシーの周囲に適切なセキュリティ衛生を設けることで、違反が発生した場合に攻撃者が広範囲の損害を与える可能性を減らすことができます。

実装を検討する必要があるいくつかのIAMコントロール

  • クラウドアカウントのrootユーザーアクセスキーをロックする
  • 個々のIAMユーザーを作成する
  • ユーザーグループを使用して、IAMユーザーにアクセス許可を割り当てます
  • 最小特権を付与する
  • ユーザーに強力なパスワードポリシーを構成する
  • MFAを有効にする
  • Roleを使用して権限を委任する
  • アクセスキーを共有しない
  • クレデンシャルを定期的にローテーションする
  • 不要なクレデンシャルを削除する
  • クラウドアカウントのアクティビティを監視する

policy_sentryなどのツールを使用して、最小特権のIAMポリシーを作成することもできます。

セキュリティのログ記録と監視

セキュリティのログ記録と監視は、クラウド環境で何が悪かったのかを特定するのに役立ち、悪意のあるイベントを発見できる唯一の方法です。

手始めに、少なくともすべてのリージョンでCloudtrailを有効にして、クラウドストレージに配置することができます。

次に、複数の認証の拒否や特権の昇格の失敗など、一般的なセキュリティのユースケースに対してアラートを設定する必要があります。

APIコールログ(Cloudtrail)、DNSログ(Route53)、ネットワークアクセスログVPCフローログ)、クラウドストレージログ(S3)、Security Hub、GuardDuty、WAFログ、アプリケーションログなどのセキュリティサービスログは、検出ルールを構築するためにログに記録する必要があります。

長期保存用に個別のログアカウントを持ち、一元化された監視アカウントを持ち、ElasticsearchなどのSIEMにデータを送信することをお勧めします。

micro-lc: a new open-source project for micro frontend orchestration (click here to source)

マイクロフロントエンド:それらは何であり、何のために必要ですか?

アプリケーションの開発を簡素化および高速化できることから人気が高まっているマイクロサービスのアーキテクチャパターンと同じようなものとして、マイクロフロントエンド が生まれ、 マイクロサービスがバックエンドに対して実行するのと同様のデカップリングロジックをフロントエンドに適用します。

これにより、フロントエンドアプリケーションを一連の再利用可能なモジュラーコンポーネントに分解することや、新しいフロントエンド機能リリースの敏捷性を向上させることができます。

micro-lc:特性と利点

micro-lcは、Mia‑Platformによって作成されたマイクロフロントエンドオーケストレーションコンポーネントであり、開発エクスペリエンスの一貫性を保つことができます 。

すべてのバックエンドとフロントエンドのパーツが含まれており、プラグインを介してそれらを拡張できます。

フロントエンド

フロントエンドは、 各々が接続されたフロントエンドを構成するために使用することができる一連のクロスアプリケーション機能を提供するContainerから構成されます。

機能としては以下のようなものがあります。

  • レイアウトの基本要素、
    • トップバーとメニュー(サイドバーメニュー、折りたたみ可能なサイドバーメニュー、トップバーメニューの3種類)
  • アプリケーションの色
  • ロゴとファビコン
  • ウィンドウタイトル
  • ダークモード/ライトモード
  • ユーザーデータ
  • グーグルアナリティクス
  • プラグイン管理

バックエンド

バックエンドでは、フロントエンドの要素を定義する要素、ユーザー認証、また一般的な構成を管理できます。

micro-lcは、ユーザーを直接管理または認証をせず、認証エンドポイントを構成でき、認証エンドポイントは、認証プロバイダーによって管理されます。