Google はクラウド ファイアウォールの「Adaptive Protection」とともに新しい侵入検知サービスを導入しましたが、このようなサービスではセキュリティ機能が高価になります。
チョコレートファクトリーは昨日、初のデジタルセキュリティサミットを開催し、「インビジブルセキュリティ」という概念を提唱しました。CEOのトーマス・クリアン氏は、企業に対し「クラウドネイティブセキュリティ」のメリットを享受するために、「デジタル資産」をクラウドに移行することを推奨しました。ゼネラルマネージャー兼クラウドセキュリティ担当副社長のスニル・ポッティ氏によると、インビジブルセキュリティとは「サイロが消滅し、セキュリティ技術がセキュリティ運用の中に設計される」ことを意味します。
この目標の達成には程遠いことがすぐに明らかになりました。イベントでの大きな発表は、Google IDS(侵入検知サービス)と呼ばれる新サービスでしたが、その導入と維持にはセキュリティ運用スキルが求められます。
IDS 導入前の Google Cloud のネットワーク セキュリティ
Google Cloud にはすでに、Cloud Armor ファイアウォール(インターネットと顧客の仮想プライベートクラウド間のトラフィックを制御)と VPC ファイアウォール(VPC 内のトラフィックを制御)が備わっています。サミットでは、DDoS 攻撃や SQL インジェクションなどのアプリケーションレベル攻撃(OSI 参照モデルのレイヤー 7)を検知し、警告を発する Cloud Armor Adaptive Protection のプレビュー版が発表されました。
Adaptive Protectionは、トラフィックをブロックするためのカスタムファイアウォールルールを生成することもできます。検出メカニズムには機械学習が活用されています。プレビュー期間中は無料でご利用いただけますが、一般提供開始時にはプレミアム版のManaged Protection Plusサブスクリプションが必要となります。このソリューションを効果的に利用するには、ログ機能とアラート機能との統合も不可欠です。SQLインジェクション攻撃のログ記録は、その情報に基づいて行動を起こす場合にのみ役立ちます。そのため、SIEM(セキュリティ情報およびイベント管理)またはSOAR(セキュリティオーケストレーション、自動化、および対応)サービス、あるいは少なくともエンジニアが対応できるアラートが必要になります。
Managed Protection Plusは今年5月に一般提供が開始され、保護対象リソース最大100個まで月額3,000ドルでご利用いただけます。保護対象リソースとは、ロードバランサーの背後にあるバックエンドサービスです。
ネットワーク トラフィックのセキュリティ保護における Google IDS の役割を示す図
侵入検知サービス(IDS)は、VPC内外のネットワークトラフィックのパケットミラーリングによって動作する、新たな脅威検知アナライザーです。ExtraHop、Cisco、Netscout、Check Pointといったサードパーティサービスへのパケットミラーリングを有効にすることで、既に同様のサービスが利用可能です。しかし、Googleのネットワーク製品マネージャーであるピーター・ブラム氏はイベントで、「私たちは常にお客様に選択肢を提供したいと考えており、お客様やパートナーがGoogleのクラウドやパケットミラーリングと連携できるようにすることはその好例です。しかし、お客様は、Googleのクラウドに組み込まれたネットワーク脅威対策をより容易に利用できるようにしてほしいと望んでいました」と述べました。
- 「もうユダヤ人に対する激しい憎しみは抱いていない」と、突然グーグルを辞めたグーグル社員が語る
- Googleはデスクトップ版ドライブを廃止し、2つのアプリに置き換えた。そして今、そのアプリも廃止し、デスクトップ版ドライブが復活した。
- Googleは、サードパーティCookie後の広告技術の未公開の変更のため、FLoCをラボに呼び戻す
- Google Cloud、SAP幹部のアデア・フォックス・マーティン氏をEMEA事業部長に採用
サードパーティのサービスをファーストパーティのサービスで代替するという、大手IT企業によくあるパターンですが、ここでのIDSはサードパーティ(この場合はPalo Alto Networks)によって提供されているという点が異なります。仕組みは、管理者がVPC内にIDSインスタンスを作成し、Palo Alto Networksの検出ソフトウェアを実行するクラスターをセットアップするだけです。その後、ネットワークトラフィックのソースをアタッチし、IDSインスタンスにミラーリングできます。IDSはログサービスにアラートを発報します。Adaptive Protectionと同様に、アラートの処理方法(SIEMやSOARサービスなど)はユーザーが決定します。IDS自体はトラフィックをブロックしません。
Googleの広報担当者は、「例えば、Cloud IDSはPalo Alto Networks Cortex XSOARと統合することで、悪意のあるトラフィックをブロックできるようになります」と述べています。また、重大なアラートを受信した際にサービスをシャットダウンするなどのアクションを実行するGoogle Cloud Functionsを設定することも可能になります。
パケットミラーリングには問題があります。IDSは暗号化されたトラフィック内の脅威をどのように検出するのでしょうか?ドキュメントによると、「Cloud IDSは復号化されたトラフィックを確認する必要があります。トラフィックはL7ロードバランサで復号するか、サードパーティ製のアプライアンスを導入することができます。…外部HTTP(S)ロードバランサはSSL証明書を必要とするため、ロードバランサとクライアント間のSSLトラフィックは暗号化されます。GFEからバックエンドへのトラフィックは標準のHTTPトラフィックであり、Cloud IDSはこれを検査できます。」
これはセキュリティ上のジレンマです。暗号化されたトラフィックは、悪意のある意図がないか検査する必要がある場合を除けば、通常は有効です。Googleは次のように述べています。「Cloud IDSは、トラフィックを復号化することなく、さまざまな悪意のある攻撃を検出できます。暗号化されたトラフィックであっても、コマンド&コントロール(C&C)アクセスから保護し、悪意のあるIPおよびURLフィルタリングから保護します。」
Cloud IDSの料金はいくらになるのでしょうか?Googleは明言していませんが、「料金は従量課金制で、IDSエンドポイントの数と検査対象のトラフィック量という2つの指標に基づいて算出されます」と述べています。Managed Protection Plusの料金から判断すると、決して安くはないはずです。ただし、プレビュー期間中は無料です。
Hafnium、SolarWinds、PrintNightmare など、最近のセキュリティ インシデントの多くは、Microsoft 製品と Windows サーバーまたはエンドポイントに関連している。そのため、Google は、クラウド ファーストのサービスと Chrome OS クライアントをより安全なアプローチとして売り込むことが容易になっている。ただし、サプライ チェーン攻撃やアプリケーションの脆弱性などの問題は、ソフトウェアがどこで実行されていても影響を及ぼす可能性がある。
Google のクラウドやその他の場所でセキュリティがプレミアム機能になり、小規模な組織がセキュリティを利用できなくなる可能性が高まっているという点をめぐって、多少の緊張が生じている可能性があります。®
