「企業の従業員は、クラウドにドキュメントを保存することはあっても、その作業を可能にする基礎技術がどのようなものであるかについてはほとんど知りませんし、それが安全かどうかについても気にしません。
基本的に、すべてのクラウドコンピューティングサービスは、ハードウェア資産、ハードウェア上で実行される仮想化技術、ネットワーク、追加の計算およびオーサリングソフトウェア、大規模ストレージおよび仮想マシン、またはアプリケーションおよびソフトウェアインスタンスを含む「スタック」で構成されています。
このような広範なテクノロジーは、コンピューティング能力という点で大きな可能性をもたらしますが、組織は、これらのテクノロジーが相互作用する方法や、クラウドコンピューティングの顧客間でしばしば発生する共有の性質により、クラウドスタックに脆弱性が生じる可能性があることを認識しておく必要があります。例えば、アプリケーションとデータがパブリッククラウドや商用クラウド環境でホストされているマルチユーザーシステムでは、仮想システムとデータ間の適切な分離、セグメンテーション、アクセス制御を開発することが基本です。
どのハイパーバイザーでも、多数のVMをホストすることができます。プライベートネットワークやプライベートクラウドでは、内部セグメントを容易に維持することができます。しかし、社内のセキュリティ・チームがインフラストラクチャを管理できないクラウド環境では、複数の組織のVMとデータが同じ物理プラットフォーム上で実行されるリスクがあります。さらに、ハイパーバイザーにおけるすべてのアクティビティの管理と監視は非常に重要であり、VMが他のユーザを追跡しようとするのを検知して、問題を迅速に防止する必要があります。
クラウドスタックのセキュリティ脆弱性について理解を深めるために、さまざまなクラウドモデルに存在する可能性のあるさまざまな脅威を見てみましょう。
IaaSとPaaSの脅威
Infrastructure-as-a-Serviceモデルでは、VM全体をマルチテナント環境でホストすることができます。これは、攻撃者が同じ環境で悪意のあるVMを作成できることを意味します。これはかなり革新的な攻撃で、攻撃者は被害者VMの特定の動作属性によって、そのVMが保存されている物理サーバーを特定することができます。こうして得た情報をもとに、攻撃者は悪意のあるVMをアップロードして実行することができます。
2013年11月、研究者グループは、同じハイパーバイザー・プラットフォーム上で稼働するVMに対する実行可能な「サイドチャネル」攻撃を実証しながら、別のIaaSモデルにおける潜在的な共有技術の脆弱性を暴露しました。この攻撃では、VMがローカル・ハードウェア・キャッシュをオーバーフローさせ、ターゲットとなるVM自身にいくつかのデータを書き換えさせます。攻撃者は、この書き込まれたデータとその書き込まれ方に基づいて、アイソレーションやその他の暗号機能に使用される暗号秘密鍵を含む、ターゲットVMに関する様々な情報を特定することができます。この種の攻撃をクラウドで実装するのは難しいかもしれませんが、このデモは、エンタープライズ・クラウドのマルチテナント環境がいかに脆弱であるかを示しています。
Platform-as-a-Service環境はすべてのVMを一緒に実行することができますが、顧客はコンフィギュレーションを制御することができません。その結果、顧客は個別のVMを作成することができず、攻撃者はIaaS環境で悪意のあるVMを作成することができない可能性があります。APIの場合、データは暗号化されていない形で変換されたり、欠陥のある認証で実装されたりする可能性があります。
2012年4月、Context Information Securityの研究者は、複数のクラウドプロバイダーから自社のVMディスクファイルをダウンロードすることができ、フォレンジック分析を行った結果、他の顧客のデータも存在すると結論づけたと述べています。その理由は?プロバイダーがマルチテナント環境でストレージの分離とクリーニングを怠ったためです。
クラウドスタックのリスクを管理する方法
では、共有技術がもたらす脅威に対して、組織はどのように対抗すればよいのでしょうか。まず、上記のようなリスクだけでなく、その他のリスクも含め、実際にどれだけのリスクがあるのかを理解することが重要です。例えば、「VMエスケープ」やハイパーバイザーの危殆化シナリオは、よく議論される「ブルー・ピル」に似ていますが、これらの脅威が現実に発生する確率は比較的低いのです。同様に、共有ストレージキャッシュの暗号鍵にアクセスするサイドチャネル攻撃を実行するために必要な調整、環境に関する知識、スキルは並大抵のものではありません。
とはいえ、組織はクラウドスタックのセキュリティを確保するために、適切な予防措置を講じることが重要です。機密データやVMコンポーネントを暗号化することは、このような脅威の多くを阻止する有力な手段です。本質的に、仮想化プラットフォームはビルトインのセグメンテーションと分離をサポートしており、その多くはチップレベルです。さらに、ネットワークとホスティングのアクセス制御は、物理ネットワーク・レイヤと仮想ネットワーク・レイヤ、およびVM自体に実装することができます。 ハイパーバイザーのアクセス制御も考慮する必要があり、攻撃者がハイパーバイザーやその管理プラットフォームを制御するようになると、壊滅的な打撃を受ける可能性があります。
ほとんどの組織にとって重要なのは、クラウド・プロバイダーにセキュリティ対策、特にハイパーバイザーやスタック内の他のレイヤーをロックダウンする方法について直接質問することです。さらに、アプリケーションの管理とコンパイルができるように、悪意のあるアクセスをブロックするための最も適切なアクセス制御を確認します。これには、例えば、ユーザーアカウントとグループの管理、パスワードと多要素認証のポリシーとタイミング、より堅牢なID管理ツールとプロセスなどが含まれます。
