8割解けるCTF「WEST-SEC」

セキュリティ初心者の方でも楽しめるゲーム形式のセキュリティイベント。CTFや勉強会の依頼があればご相談ください。

特権ID管理

特権ID管理

特権アクセス管理(PAM:Privileged Access Management)

1.背景

なぜ特権ID管理が必要なのか
❶セキュリティ強化
rootやAdministrator権限は、なんでもできてしまう。その分、その権限が悪用されると、情報漏えいや改ざんなどにつながる。
外部から攻撃だけでなく、内部犯の対策としても必要

❷管理の容易性?
❸法令・ガイドライン対応

2.特権ID管理でできること

顧客情報が入ったLinuxサーバやWindowsサーバがあり、Webアプリ+DBで構成されているとして、攻撃によるものと、内部不正対策として

2.1利用制限

・操作時のワークフロー(管理者が承認しないとログイン不可。一時的なpwd発行など)
・申請された期間だけ、rootなどの特権IDを貸し出す。(それ以外の時間は使えない)

・手順
 iDoperation管理コンソールにログイン(実際に作業する人用のアカウントも作っておくといいかも)
 利用申請をする(実際に作業する人か、委託元が代行してもいい)
 Clientエージェントソフトが入ったPCにログイン、iDoperation管理コンソールにログインする
 接続したいシステムに接続できる。(PWが払い出されるわけではなく、管理コンソールから接続する)

・できる権限を細かく設定できる。

Q.ワークフローでIDを誰が払い出す運用がいい?
A.多段設定ができる(最大9段階)ので、管理者複数人がいいだろう。

2.2 認証の強化

・裏で、サーバのroot,adiminのPWは定期変更している(IDoperation用の接続用のアカウントを用いてSSH等で)。→直接ログインする人が不正をするのを防ぐため。(パスワードを誰もしらない環境に)
・IDoperation用の接続用のアカウントはほぼroot権限で、このアカウントの不正利用にし対しては、利用ログの確認、スケジュールを組んで自動でPW変更をしておく。
※Linuxサーバには裏口のIDは別途用意しておくほうがいいだろう。(PWは金庫にしまっておく)
・多要素認証(MFA)にできる? →iDoperationの管理コンソールはログインできる。

IDopeationでユーザの識別ができるので、ターゲット側はrootで共有IDでもいいだろう。
ただし、IDopeationはユーザ単位で管理すべき(委託先の場合は、委託会社で一つのIDにする運用もあるが、あまり望ましいとはいえない)

2.2 機能制限

・利用できるコマンドの制限(例 scp,mget,suなど禁止) ができる? →コマンドの制限まではできない。結局はrootでいろいろなことができないといけなく、部分的に制限しても、あまり意味はないから。
・root権限はすべてできてしまうけど、その機能を制限できる? →これは難しいだろう。

・OSのパッチなど、rootでしかできない作業があっても、これで払い出す機能で、うまくできるのか。
何を心配しているかというと、root権限があれば、PAMの機能を一時的に停止したりできるはず。
→録画は、サーバ上ではなく、Client側で録画するので、別の話。Clientをアンインストールされなければ大丈夫。

2.3 ログの強化

・操作ログを取る(何が強化されている?)→ログそのものは増えていない。録画で取る。
・操作のエビデンス(録画) →管理画面からクリックすると、録画が見える。
・ワークフローの申請が無いのに、アクセスを試みたログも見える。(送信元IPアドレスがわかる)

Q.ログを消去したりはできないのか?

3.サイバー攻撃に対して、どこまで効果がある?

・脆弱性を突かれたりしたら、ダメな気がする →たしかに。
・PWが秘匿化されているので、ある程度セキュアになる
・対策 
 特権を減らす

IDの見える化と監視強化

特権を吸い上げて、IDの整理ができる。使ってる?使っていない?を判断する
理想はゼロ特権。ワンタイム特権。申請されると一時的に権限を許可する。(root権限を無効化しておき、一時的に許可する)
・システムを作るときに、rootを使わずに設計するのがいい。IDoperation用の接続用のアカウントもrootを管理しようとすると、root相当の権限が必要だが、root権限の操作が不要であれば、IDoperation用の接続用のアカウントも弱い権限で十分。
・特権ID(root)だけでなく、他のアカウントも含めて可視化できる。
・特権IDのログイン履歴など、レポートのサンプルは以下
https://www.ntt-tx.co.jp/products/idoperation/function/report.html#a6

4.システム管理者の不正に対して

Q.root権限を持つ人がいたら、ソフトを無効化するのではないか。
Q.rootアカウントを複数人で使い回している場合、
Q.業者にしかできないシステム作業は、どうすればいいのか?root権限でしかできない作業もありそう。OSのバージョンアップとか

Q.抜け道はないのか?
→かなり破壊的なことをしないといけない。IDopeationのシステムの管理者が特権の特権になり、その管理は重要。担当者に渡されてしまったりしては意味が無い。IDopeationの監査機能は重要。一人情シスであれば意味が無い。少なくともクロスチェックは必要。

5.導入に関して

(1)構成

❶対象のサーバ(Linux、Windowsなど) Q.ここに何かを入れる? →A.何も入れない。
❷iDoperation管理サーバ(オンプレ、クラウドの両方) 【動作要件】https://www.ntt-tx.co.jp/products/idoperation/function/environment.html
❸操作用PC(iDoperation Clientをインストールする) ※必須

Q.対象サーバに何も入れない場合、対象サーバに直接ログインしたりしてしまうのでは?

A.PWは誰も知らない状態になっている。定期的にPW変更だが、変えないという企業が一般的(変えたら大変!という考え)。
ログの点検が必要。

Q.iDoperation管理サーバはクラウド? 対象サーバがインターネットに接続している必要あり?
→接続の必要があり。IPsecが必要。クラウド側はAWS。拠点側にIPsecのルータが必要。

DMZにWebサーバ(Linux)、インターネット接続(UTM)、LAN(プライベート)
Doperation管理サーバはクラウド→SSH→Webサーバ(Linux) ポート開けるのは抵抗がありそう

(2)PAMの管理できる対象機器

・Linux、Windows、どこでも入る?
・クラウド上(AWSなど)のLinuxでも同じと思っていい?

(3)PAMの管理できるシステム

OSはWindows、Linuxなど、データベースもSQLサーバやOracle、mysqlなど。

・対象ではないものであっても、IDとPWで管理しているシステムであれば制御可能(らしい)

(4)複数のサーバを一元管理

可能? →もちろん。よくある事例
ネットワーク的には全く別。(ユーザも、物理的な場所も全て別)

6.導入費用

いくらくらいか