フェデレーションの実現ーCloudGateとAmazon Web Servicesとの統合認証

2018年6月1日

フェデレーションの実現ーCloudGateとAmazon Web Servicesとの統合認証


CloudGateの主要サーバーを収容するデータセンターへ初めて足を踏み入れたとき、まるでマトリックスの中へ歩いていくように感じました。そこは、上の写真にあるような妙に重々しさのある場所で、訪問者は遠い道のりの先にある受付へと続く物々しい雰囲気の廊下を歩かなければなりませんでした。データセンターの内部へ入るには、生体認証とキーカードが必要であり、システムと厳しい警備員の両者により検査されます。ここで分かるように、データセンターはセキュリティを非常に重視しており、ましてやサーバーをクラウドで管理するというあなたにとって、セキュリティは更に重視しなければいけないということです。

しかしながら、近年、ますます多くの企業がITインフラストラクチャの一部またはそのすべてを、専用のサーバールームやデータセンターからクラウドへ移行しており、Amazon Web Services(AWS)などのクラウドサービスプロバイダーは、ボタン一つで新しいサーバーインスタンスを構成し起動可能とする、オンデマンドコンピューティングリソースを提供しています。

AWSは利便性と固有のセキュリティ保証していますが、これらは諸刃の剣にもなり得ます。どこまでがクラウドサービスプロバイダ側の責任で、どこからが管理者側の責任となるか、その責任分界点が見えにくくなる可能性があるからです。さらに言えば、AWSなどから提供された使いやすいサービスは、新たな層のユーザーをITオペレーションの世界へ導くことが可能となりますが、時にユーザーは、必要とされる知識の不足から自らの行動によるセキュリティへの影響を十分に意識していないことがあります。また、多くのクラウドプロバイダでは、自社サービスへのアクセスに便利なAPICLIを提供するためにインフラストラクチャオーケストレーションの自動化を進めており、大規模なアプリケーションとネットワークトポロジは、ほぼ人の手を介することなく展開可能となっていますが、同時に、このようなシステム同士のやり取りの増加に伴い、認証と認可に必要なさまざまなキーやパスワードを追跡する事が難しくなってきています。

これらの問題は、多くの困難な状況を生み出しています。例えば、ディベロッパーが誤ってGitHubにAWSアクセスキーを公開し、AWSアカウントが侵害されたこと、また、ITセキュリティビジネスに参画する企業でさえ、度々被害を受けてデータ(顧客データも含む)を盗まれたことがありました。これは明らかに問題であり、我々は増大するAWSやその他のクラウドサービスを利用するお客様のために、CloudGate UNOとAWSとの統合を一層深めることに取り組んで参りました。

Amazon Web Serviceマネジメントコンソールへのアクセス

多くのユーザーにとって、AWSマネジメントコンソールは、AWSへの主要なアクセスポイントです。Amazonは、より安全にコンソールへアクセスできるよう、多数の多要素認証(MFA)に対応しています。しかし、大多数のユーザーは、いまだユーザー名とパスワードでの認証に依存しており、幅広い選択肢があることに気づいていないかもしれません。

AWSは、多要素認証ソリューションを提供するほか、IDフェデレーションをサポートし、SAML(Security Assertion Markup Language)2.0プロトコルを使用したAWSアカウントへのシングルサインオン(SSO)アクセスを可能にします。CloudGate UNOは、SSOプロバイダとしてこのプロトコルをサポートしており、現在ユーザーは、AWS マネジメントコンソールにログインできるようになっています。これにより、CloudGateの管理者は、アクセス制限と、生体認証または二要素認証の設定が可能となり、AWSアカウントへのアクセスを制御して安全に利用することができます。

Amazon Web Services APIおよびCLIへの一時アクセスキーの生成

さらに統合を深めるために、ユーザーは、インスタンスをマネジメントコンソールから手動で設定するのではなく、AWSが提供するさまざまなAPIやCLIに頼る傾向にあります。言うまでもなく、APIまたはCLIを介してリクエストを実行するには、認証と認可が必要です。これを実現するために、AWS SDKとCLIツールは、いわゆるアクセスキーを使ってユーザーに代わりこれらのリクエストに署名します。

一般的に、AWSアクセスキーはユーザーがマネジメントコンソールで生成し、APIまたはCLIリクエストで使用するためローカルのファイルシステムにコピーされます。アクセスキーは、通常無期限に使用可能であり、ユーザーが定期的にキーを交換したりローテートしたりする必要性はありません。この永続的に使用可能なキーは、他のユーザーと常時共有されています。電子メールで送信されることや、公開コードリポジトリにコミットされること、または、さまざまなドライブやデバイスに残されることもあります。

この問題の明確な解決策としては、組織レベルで厳格なキーマネジメントポリシーを導入し、アクセスキーの有効性を時間的に制限することが挙げられます。ここでの目標は、最終的に信頼できない者の手に渡るまでに、アクセスキーを確実に失効させ使用不可とすることです。好都合なことに、AWSは、一時的に有効となるアクセスキーを発行するメカニズムを提供しており、IDフェデレーションサービスと連携しています。

AWSとの連携作業の一環として、我々は現在、CloudGate UNOの機能を実装し終えようとしています。ユーザーは、CloudGateからAWSマネジメントコンソールやその他のサービスにログインする際と同じ方法で、AWSから有効期限のあるアクセスキーを取得できるようになります。

CloudGateの管理者は、AWSアクセスキーの発行管理だけではなく、有効期限も指定できるようになり、CloudGateセキュリティメカニズムを最大限に活用できるようなります。そうすることで、アクティブなキーが何者かの手にわたるリスクを大幅に減らし、インフラストラクチャのセキュリティを大きく向上させることが可能となります。CloudGate UNOの新たな機能、AWS APIおよびCLIアクセスを連携させた機能は、今年の下半期にお客様に提供する予定です。

Robby
ISR CloudGate アーキテクト

CloudGate UNOの機能の詳細については、こちら

2018-06-14T15:23:57+00:00 2018.06.01|Strong Authentication ブログ|