クラウドアカウントのセキュリティ管理

皆さん、こんにちは。エンジニアのMiyaです。

先日、Alibaba Cloud Japanユーザコミュニティ(AliEaters)第2回目が開催されました。もちろん中国本土でもコミュニティの活動は活発で、日々様々なテーマの記事がコミュニティサイトに書かれています。今回はその中でも気になった、アカウントのセキュリティについて書かれた記事をご紹介したいと思います。

概要:すべてのクラウドセキュリティ脅威の中で、最も深刻な脅威はアカウントパスワードまたは、AccessKey(アクセスキー)の漏洩です。パスワードやAccessKeyが漏れた場合、企業イメージのダウンだけではなく、事業破綻の可能性さえあります。

 CodeSpaces社はパスワード漏洩したことで、すべてのAWSデータとバックアップを脅迫者に削除されてしまいました。自分は対策もしているし「同じようなことが起こるはずがない」と思っている人もいるかもしれませんが、そんなことはありません。CSA(cloud security alliance) 2016AWS顧客向けのセキュリティ脅威分析レポートによると、特権アカウントのパスワード/ AccessKeyなど重要なデータの漏洩は、クラウドセキュリティTop-12の中で一番の脅威となっています。

 もしかすると、みなさんのアカウントパスワードとAccessKeyはもう誰かに知られている可能性があります。では、Alibaba Cloudでこのような脅威をどのように回避できるかというと、RAMサービスを利用することです!RAMはAlibaba Cloudが提供している、無料のアカウント管理とアクセスコントロールプロダクトです。RAMを活用することで、情報セキュリティリスクを大幅に減らすことができます。

1.プライマリアカウントのパスワード共有は禁止

 プライマリアカウントのパスワードが漏洩する理由の多くは、パスワードの共有です。多くの人が知っている秘密は秘密とは言えません。アカウントのパスワードを共有することには多くの問題があり、漏洩しやすい以外に、権限を制限することもできなくなります。また、誰が何を実行したのか監査したり、追跡したりすることもできません。

 この問題の解決策は、Alibaba Cloud利用者にはそれぞれのRAMユーザーアカウントを作成して、RAMユーザーアカウントで日常作業をすることです。

では、Alibaba Cloudコンソールに入って、実際にユーザー管理をしてみましょう。

2.MFAを使用する

 MFA(Multi-Factor Authentication)は、簡単で効果があるセキュリティのベストプラクティス方法で、ユーザー名とパスワード以外に、もう一層のセキュリティを追加します。MFAを使ってログインする場合、ユーザーはユーザー名とパスワードの入力を要求されるだけではなく、ワンタイムパスワード入力も求められます。時間ベースのワンタイムパスワード(TOTP、またはマルチファクタ認証、MFA)を使用すると、ログインパスワードまたは AccessKey の上に特別な保護機能が追加されます。

2-1.プライマリアカウントのMFAの有効化する。

まず、プライマリアカウントのコンソールにログインします。[アカウント管理] の[セキュリティ設定] ページを開いて、[アカウント保護] の右にある [ビュー] をクリックして、[セキュリティ保護を有効化] ページでMFAの有効化を設定します。

[セキュリティ保護を有効化] ページで、セキュリティシナリオと認証方法を選択します。

(詳しくは、MFAの設定方法を参考してください。)

2-2.RAMユーザーのMFAの有効化:

「Resourse Access Management」→「ユーザー」の順に移動します。そして、管理するユーザー名をクリックして、「ユーザーの詳細」ページで「MFAの有効化が必要」を選択します。

3.RAMユーザーログイン設定を一元化する

3-1.すべてのユーザーのパスワード強度とログイン制限をRAMで設定します。

「Resourse Access Management」を開く  →「設定」の「パスワードの強度の設定」を開いて、設定します。例えば、以下のように設定することができます。

  1. パスワード強度:すべてのRAMユーザーのパスワードを、小文字の英字、大文字、数字、特殊文字を含み、10文字以上に設定します。
  2. パスワード有効期限:90日ごとのパスワードのローテーションを設定しあます。
  3. パスワード履歴:過去3個のパスワードの使用を禁止します。
  4. パスワード再入力制限:パスワードを間違えた場合に再入力できる 1 時間あたりの最大回数を5回にします。

3-2.RAMユーザーのセキュリティの設定をします。

RAMユーザーがパスワード、AccessKey、MFAなどを独立して管理できるかどうかを設定します。

4.プライマリアカウントAccessKeyを使わずRAMユーザーのAccessKeyを使用する

プライマリアカウントのAccessKeyはすべてのアクセス権限があり、また、MFA認証も設定できません。これでは、プライマリアカウントのAccessKeyが失われた場合、非常に危険です。したがって、「プライマリアカウントAccessKey」を削除し、すぐにRAMユーザーAccessKeyを使うことを強くお勧めします。

AccessKeyコンソールに初めて入ると、Alibaba CloudはRAMユーザーAccessKeyをすぐに作成するように案内が表示されます。

5.RAMユーザーAccessKeyのアクセス元IPアドレスを制限する

ある企業のIPエクスポートアドレスの範囲が42.120.72.0/22であると仮定します。カスタマイズ権限付与ポリシーで、すべてのデータアクセス要求(リクエスト)を、社内ネットワーク以外は拒否するように設定します。そうすれば、AccessKeyを外部ネットワークに漏らしてしまった場合でも、外部からはクラウドのデータにアクセスできません。

まず、カスタマイズ権限付与ポリシーを作成して、指定されたIP範囲外のすべての要求を拒否します。

そして、RAMユーザーグループ(adminユーザーグループ)への権限を付与します。図のように、「AliyunOSSReadOnlyAccessポリシー」と「DenyAccessPolicyWithIpConditionsポリシー」を含めます。

今回の記事はクラウドアカウントのセキュリティ管理について紹介いたしました。インターネットで検索すると、クラウドアカウントを不正利用されたという記事は沢山出てきます。皆さんもアカウント情報には念には念を入れて管理してください。

なお、SBクラウドでは24時間365日無償でサポートを行なっています。少しでも不正操作と疑われることがあれば、遠慮なくお問い合わせください。

この記事をシェアする