最新の侵害によって統合の問題が浮き彫りに
トピック: バラクーダ、ネットワークおよびアプリケーションセキュリティ
2021年1月4日、Mike Vizard
過去数週間でITに対する信頼を揺るがした一連の重大なセキュリティ侵害によって、統合はセキュリティの敵であるという古い格言が、かつてないほど浮き彫りになっています。
ソフトウェアサプライチェーンへの侵入は複数のサービスの間に存在する依存関係が壊滅的な下流影響をどのように及ぼすかをあまりにも明確に示す一連のインシデントにつながっています。このような影響のすべては、1回の侵害にさかのぼることができます。
残念ながら、状況は、改善されるどころか、はるかに悪化する可能性が高いです。ほとんどの新しいソフトウェアは、マイクロサービスによって、さらにモジュール式の方法で構築されているため、企業はアプリケーションのさらに迅速な構築と更新をさらに簡単に行うことができます。1つのモノリシックソフトウェアを更新する必要はなく、マイクロサービスをリッピングおよび交換すると、新しい機能をアプリケーションに追加できます。このアプローチでは、アプリケーションをクラッシュするのではなく、アプリケーションの一部を使用できない場合は常に、サービスへのリクエストを別のマイクロサービスに再ルーティングするため、アプリケーションの回復力をさらに強化することもできます。
セキュリティの観点からは、ソフトウェアを構築するためのこのアプローチでは、多くの課題を提示できます。マイクロサービスが相互に通信できるように開発されたすべてのAPI(アプリケーションプログラミングインターフェース)の間には、複数の依存関係が作成されます。1つのマイクロサービスが侵害されると、攻撃者は侵害されたマイクロサービスがアクセスできる他のすべてのソフトウェアコンポーネントにアクセスできます。間もなく、マルウェアは、アプリケーション環境全体に横方向に拡散します。
このような事態が発生しないようにするには、企業が、ソフトウェアを構築する場合、DevSecOps(開発、セキュリティ、運用)のベストプラクティスを採用する必要があります。マイクロサービスを導入および更新するたびに、脆弱性をスキャンする必要があります。理想的には、開発者が、マイクロサービスを構成するコードを記述しながら、脆弱性をスキャンします。
幸いにも、現在必要な対策は、モノリシックアプリケーション全体にパッチを適用するのではなく、脆弱性が発見された場合は常に、コンテナをリッピングおよび交換するだけです。アプリケーション開発者にはモノリシックアプリケーション全体にパッチを適用するために必要な時間がないため、現在発見されている多くの脆弱性は修正されない場合が多いです。
マイクロサービスアーキテクチャに移行すると、1つのWebサーバからのわかりやすいリクエストとレスポンスが複数のホストへの数十のリクエストとレスポンスを含むようになるため、実質的に、攻撃サーフェスが大幅に増加します。IT部門は、マイクロサービスが相互に完全に分離されていることを確認するために、ファイアウォールとAPIゲートウェイを導入する必要があります。また、マイクロサービスへの呼び出しが正規であることを確認するために、OAuthプロトコルなどのIAM(アイデンティティ管理とアクセス管理)を実装していることを確認する必要があります。
幸いにも、マイクロサービスごとに一意のIDを付与することを約束する取り組みも進行中です。たとえば、CNCF(Cloud Native Computing Foundation)は、オープンソースのSPIFFE(Secure Production Identity Framework For Everyone)仕様とSPIRE(SPIFFE Runtime Environment)を活用して、プラットフォームに依存しない暗号IDによって、ソフトウェアサービスを認証しています。SPIFFE仕様の中核をなすものはAPIによって呼び出されるSVID(System V Interface Definition)とも呼ばれる存続期間が短い暗号IDドキュメントです。ワークロードは、TLS(Transport Layer Security)接続を確立するか、JWT(JSON Web Token)に署名し、JWTを検証して、他のワークロードから認証を受ける場合、SVIDを採用します。
現在、企業にどれほど多くのセキュリティエキスパートがいるかにかかわらず、新年を迎えるほとんどの企業は、近い将来に数千のマイクロサービスで構成されることになるアプリケーション環境を保護するために必要な対策を過小評価している可能性が高いです。残念ながら、国家のために活動する攻撃者は現在のソフトウェアの構築方法を非常によく理解していることをすでに示しているため、さらに多くの同様の侵害が発見されることは時間の問題です。
原文はこちら:
Latest breaches highlight integration insecurity
January 4, 2021 Mike Vizard
https://blog.barracuda.com/2021/01/04/latest-breaches-highlight-integration-insecurity/