Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

1.4. 脅威の分類、アクター、および攻撃ベクトル

クラウドデプロイメントのタイプ(パブリック、プライベート、またはハイブリッド)は、一部の攻撃に対して公開されます。本セクションでは、攻撃者が分類し、各セキュリティゾーンにおける潜在的な攻撃の種類をまとめています。

1.4.1. 脅威アクター

脅威アクターは、防御を試みる可能性のある敵のクラスを指す抽象的な方法です。アクターの能力が高いほど、攻撃の軽減と防止を成功させるために必要なセキュリティー制御が厳しくなります。セキュリティーは、要件に基づいて、利便性、防御、およびコストのバランスを取ることです。ここで説明するすべての脅威アクターに対してクラウドデプロイメントのセキュリティーを保護することができない場合があります。OpenStack クラウドをデプロイする際には、デプロイメントと使用方法のバランスを判断する必要があります。

リスク評価の一環として、保存するデータの種類やアクセス可能なリソースも考慮する必要があります。これは、特定のアクターにも影響するためです。ただし、お使いのデータがアクターにさらせない場合でも、ボットnet に参加することや、承認されていない暗号通貨のマイニングの実行など、コンピューティングリソースに引き継ぐことができます。

  • Nation-State Actors: これは最も可変ガーサルです。国民国家の攻撃者は、ターゲットに対して莫大なリソースをもたらす可能性があります。彼らは他のどの攻撃者よりも優れた能力を持っています。人間と技術の両方で非常に厳格な管理が行われていなければ、これらの攻撃者から身を守ることは非常に困難です。
  • 深刻な組織型 Crime: このクラスは、大量の攻撃者の非常に可能かつ公平なグループを説明します。彼らは、社内のエクスプロイト開発とターゲット研究に資金を提供することができます。近年、大規模なサイバー犯罪企業である Russian Business Network などの組織の台頭により、サイバー攻撃がどのように商品になったかが実証されています。産業スパイは、深刻な組織犯罪グループに分類されます。
  • 可用性の高いグループ: このアーティクルでは、通常商用ではないが、サービスプロバイダーとクラウドオペレーターにとって深刻な脅威をもたらす 'Hacktivist' タイプの組織を参照します。
  • エクスパッシベートされた単独の個別動作: これらの攻撃者は、不正な社員や悪意のある従業員、不備のある顧客、または小さなスケールのエリフェンジなどの多くの偽装につながります。
  • スクリプト Kiddies - これらの攻撃者は特定の組織を対象にしませんが、自動化の脆弱性スキャンと悪用を実行します。多くの場合、これらは厄介なものにすぎませんが、これらの攻撃者の 1 人による侵害は、組織の評判に対する大きなリスクです。

次の方法は、上記で特定されたリスクの一部を軽減するのに役立ちます。

  • セキュリティー更新: ネットワーク、ストレージ、サーバーハードウェアなど、基盤となる物理インフラストラクチャーをエンドツーエンドで検討する必要があります。このようなシステムには、独自のセキュリティー強化プラクティスが必要です。Red Hat OpenStack Platform のデプロイメントには、セキュリティー更新を定期的にテストしてデプロイする計画が必要です。
  • アクセス管理: システムに個別の権限を付与する場合は、最小特権の原則を適用し、実際に必要な詳細なシステム特権のみを付与する必要があります。AAA (アクセス、認可、およびアカウンティング) のプラクティスを使用して、このポリシーを適用するのに役立ちます。このアプローチは、システム管理者からの悪意のあるアクターと誤字エラーのリスクを軽減するのに役立ちます。
  • 管理: ロールベースのアクセス制御 (*必須アクセス) を注意して適用し、認証/承認 (集中化されたアイデンティティー管理など) の暗号化を使用して、悪意のある内部で使用される脅威を軽減することができます。また、職務の分離や不規則な職務のローテーションなど、技術以外の追加オプションを検討することもできます。