2. Dome9について

Dome9は、Amazon Web Service / Microsoft Azure / Google Cloud Platform / Kubernetes向けのCSPM(Cloud Security Posture Managemet)機能を提供するクラウドサービスです。

クラウドサービスにおける責任共有モデルでは、クラウドサービスを適切に「設定」する責任は利用者にあります。 しかし、クラウドサービスはその柔軟性によって多数のリソースを手軽に作成することが可能で、故に管理が行き届かず不適切な設定のまま利用されてしまうことがあります。

CSPMは、クラウドサービスの設定にリスクが含まれていないかを評価したり必要に応じて是正することを支援します。

このハンズオンでは、以下の機能を体験することができます。

  • Asset Management

    • On-Boarding

  • Posture Management

    • Compliance Ruleset

    • Exclusion

  • Network Security

    • Clarity

    • Security Groups

    • IP List

    • Dynamic Access

    • Tamper Protection

  • IAM Protection

    • IAM Safety

2.1. Asset Management

2.1.1. On-Boarding

クラウドサービスをDome9に登録します。 このハンズオンではAWSのアカウントを登録します。 Dome9の利用者はDome9に対してIAM Roleを利用してアクセス権限の委譲します。 これによって、Dome9はクラウドサービスの設定を読み込んでリスクの有無を評価やリスクのある状態の是正が可能になります。

委譲する権限は、読み取りモードと完全保護モード(書き込みモード)の2種類があります。 設定の評価のみを行う場合にはモニター(読み取り専用)モードを利用します。 設定の是正も行う場合には完全保護(読み取り/書き込み)モードを利用します。 このハンズオンでは、完全保護モードを利用します。

Dome9では複数のクラウドサービス・アカウントを同時に管理・保護することができます。

2.2. Posture Management

2.2.1. Compliance Ruleset

Compliance Rulesetは設定に含まれるリスクを評価するルールの集合です。 SOC2やPCI DSSなどのコンプライアンス標準に準拠したルールセットが提供されています。 ルールセットは独自に作成することも可能です。

このハンズオンではDome9が提供するRulesetを利用して手動で評価を実行します。 また、リスクのある設定を修正後に改めて評価を実行し、リスクが解消されたことを確認します。

2.2.2. Exclusion

Dome9では指定した条件に該当する評価を除外することができます。

Rulesetにおいてはリスクがあるとされる状態であっても、個別の要件によってはその設定が妥当である場合があります。 そのような場合には除外したい条件を指定し、それ以降に条件に該当するリソースに対する・ルールによる評価を除外できます。

2.3. Network Security

2.3.1. Clarity

Security Groupによるアクセス制御設定を可視化することができます。 この機能により、 Security Groupを利用するリソース(EC2インスタンス・RDSインスタンス・ELBなど)が「任意のIPアドレス / 一部のグローバルIPアドレス / プライベートIPアドレス」のどこからアクセスが可能であるかを可視化します。 また、VPC内のどのリソースからアクセスが可能であるかも可視化することができます。

2.3.2. Security Groups

指定したSecurity Groupの管理をDome9に集約することができます。 後述する機能を利用して多数のAWSアカウントに対する統制を実現します。

2.3.3. IP List

Dome9ではIPアドレス / ネットワークアドレスをIP Listというオブジェクトとして定義することができ、Security Groupの設定に利用することができます。

AWSのマネージメントコンソールでSecurity Groupを設定する場合、各ルールにDescriptionを記述することができますが、設定および管理が煩雑です。 IP Listを利用してSecurity Groupを設定することで、設定するIPアドレス / ネットワークアドレスに関する説明を集中管理できます。 また、IP Listを利用して設定した複数のSecurity GroupにIP Listの変更が一括で反映されます。

2.3.4. Dynamic Access

Dome9に管理を集約したSecurity Groupに対して一時的なアクセス許可を追加することができます。

SSH/RDPなどで一時的に管理アクセスを行いたい場合、Security Groupの設定を一時的に変更するつもりで設定がそのままとなり、潜在的なリスクが徐々に増加することがあります。 Dynamic Accessを利用することで一時的に追加した許可を指定した時間経過後に自動で削除できます。

2.3.5. Tamper Protection

Dome9に管理を集約したSecurity Groupに対してAWSのマネージメントコンソールなどから変更した場合に設定をロールバックできます。

この機能によって、指定したSecurity Groupの変更をDome9に集約することが実現でき、重要なリソースに対する適切な保護をサポートします。

2.4. IAM Protection

2.4.1. - IAM Safety

IAM Safetyを利用することで特権を管理することができます。

IAM Safetyを有効化する際、特権操作を禁止する制限ポリシーを定義します。 「特権」は独自に細かく定義することもテンプレートを利用して定義することも可能です。 IAM Safetyは指定するIAM User / Roleに対して制限ポリシーを割り当てます。

また、特権操作を許可したいときにはDome9の管理者が一時的に特権操作を許可することができます。 特権操作の許可は制限ポリシーを一時的にデタッチすることで実現されます。 許可する時間は指定可能で、制限の再開は自動的に実行されます。