エッジの実装に関する5つのセキュリティ上の考慮事項

多くの組織は、エッジデプロイメントのセキュリティに懸念を抱いています。データの価値が高まるにつれて、セキュリティの脅威はますます深刻な懸念を生み出しています。どの組織も、最新のセキュリティの脅威にさらされた経緯を報道され、機密情報が盗まれたことについて釈明したりすることは望みません。こうしたセキュリティの脅威は、組織の信用を損ない、ひいては組織の利益に影響を及ぼす可能性があります。

この記事では、エッジデプロイメントによってもたらされるセキュリティの脅威のいくつかについて解説し、Red Hatとパートナーのエコシステムがそれらの脅威を軽減する上でどのように役立つかについて説明します。まず、エッジ・ソリューションのデプロイによって新たに生じる脅威について説明します。

データセンター以外におけるセキュリティ上の考慮事項

多くのセキュリティチームにとって、ファイアウォール、2要素認証、共通脆弱性識別子 (CVE) のモニタリング、およびロールベースアクセス制御 (RBAC) 方式によるデータセンターのセキュリティ保護が主な焦点となっています。エッジデプロイメントの需要がますます高まる中、これらのセキュリティチームは、この新しいデプロイメントの保護に注意を向ける必要があります。エッジデプロイメントに伴い、攻撃対象領域がデータセンター以外にも拡大するため、新たな懸念が生まれています。

従来、組織の最も価値あるデータは、データセンター内に収められていました。セキュリティチームには、データセンターに出入りする、このデータの動きを簡単に監視し制御する能力がありました。データ侵害が発生しても、そのデータがどのように盗まれたか、またそこに何が含まれていたかを追跡することができました。エッジデプロイメントは、組織の価値あるデータの収集と管理をデータセンターの境界の外へ移すため、これを困難にします。

図1は、各エッジデプロイメントに、脆弱性をもたらす5つの中心的なリスク領域、すなわちデータ、ネットワーク、オペレーティングシステム (OS) プラットフォーム、ソフトウェア、およびハードウェアがどのように存在するかを示しています。

図1．エッジテクノロジーコンポーネント

次に、各エッジテクノロジーコンポーネントと、それがもたらすいくつかの脆弱性について説明します。

エッジにおけるデータのセキュリティ保護

最も重要なコンポーネントはデータです。これがエッジデプロイメントの核心です。つまり、何らかのイベントを通じてデータが生成されるそのポイントで生データをキャプチャし、収集し、処理するということです。データが処理されると、インテリジェントなビジネス上の意思決定に使用できる、何らかの価値ある情報が生み出されます。

送信元から宛先に移動している時のデータは、稼働中のデータです。データベースのディスク上に保存されているデータは、休止中のデータです。エッジデプロイメントでは、通常、エンドユーザーのデバイスまたはセンサーから恒常的にデータの流れがあります。そのデータがキャプチャされたり、不正なグループに開示されたりすれば、組織に深刻な問題をもたらす可能性があるため、稼働中および休止中のデータを保護する必要があります。

稼働中または休止中のデータを保護するための有効な手法は、暗号化技術を使用することです。Red Hat とそのパートナーのエコシステムは、組織が稼働中および休止中データの暗号化に関する政府の基準を満たす上で役立つテクノロジーを提供しています。たとえば、Red Hat OpenShift は、データ保護のために以下の機能を提供します。

• 保管シークレットの暗号化 (etcd データストア)
• マスターノードへの全トラフィックの暗号化
• cipher suite の設定*
• East-West トラフィックの暗号化 (サービスメッシュ)
• ボリュームの暗号化 (TPM/vTPM、NBDE)

エッジにおけるネットワークのセキュリティ保護

悪意のある人物がデータにアクセスするには、まずその次に重要なテクノロジー・コンポーネントであるネットワークを侵害する必要があります。データは、エッジデプロイメントで最も価値ある資産ですが、データが常にセキュリティの脅威の動因であるとは限りません。悪意のある人物は、ネットワークやシステムへのアクセス権を取得することで、単に運用を妨害しようとする場合があります。

今日のネットワーク、とりわけエッジデプロイメントを含むネットワークはかつてないほど複雑になっており、ソフトウェアデファインド・ワイドエリア・ネットワーク (SD-WAN) などの技術が一般化しています。サービス拒否 (DoS) のような撹乱型の攻撃についてはよく知られています。このような攻撃は、エッジデバイスにとって特に問題になる可能性があります。エッジデバイスは通常、リソースに制約があり、そのような攻撃によって容易に圧倒されると考えられるためです。エッジにおけるネットワーク攻撃は、データセンターに対する攻撃と非常によく似ています。

エッジデプロイメントがもたらす問題は、ネットワークおよびそれに接続するデバイスの複雑さと規模です。ネットワーク上に何百万ものセンサーやデバイスとゲートウェイが存在する場合があり、誤った設定のデバイスが1つでもあれば、アクセスを求めるハッカーに扉を開く可能性があります。自動化された、一貫性のあるスケーラブルなポリシー主導型のネットワーク構成は、ネットワーク攻撃から保護する上で最も重要です。ゼロトラスト・ネットワーク・アクセス (ZTNA) などのテクノロジーを使用して、企業データやクラウドサービスへのエッジアクセスを保護することもできます。

Red Hat とそのパートナーのエコシステムは、ネットワークの脆弱性を軽減する複数の機能を備えたテクノロジーを提供しています。その1つは Red Hat OpenShift Container Platform で、次のような機能によりプラットフォーム・レベルでネットワーク分離を提供します。

• Ingress/Egress 制御
  • サービスへの外部および内部アクセスの制
• ネットワークのマイクロ・セグメンテーション
  • クラスタの内部ネットワークの完全な制御と分離

また、Red Hat Ansible Automation Platform は、ポリシー主導型のネットワーク構成をサポートしています。これは次のような機能を提供します。

• 自動ネットワーク構成
  • ネットワーク構成の自動化により、ネットワーク・デバイスが整合的に構成され、手動で大規模な構成を行う場合に発生する可能性がある人為ミスを回避できます
• ネットワーク・インフラストラクチャの認識
  • ネットワークの健全性を監視することで、管理者はデバイスの障害を予防的に発見できます
• ネットワーク検証
  • ネットワークおよびプロトコル標準に対するネットワーク・デバイスの準拠性の検証は、セキュリティ専門家が非準拠のデバイスやアクティビティを発見する上で役立ちます

エッジにおける OS プラットフォームのセキュリティ保護

暗号化技術とネットワーク技術は比較的確立されており、多大な進歩を遂げてエッジデプロイメントに関するセキュリティ上の懸念への対処に貢献していますが、ハッカーは引き続きOSプラットフォームのセキュリティ上の脆弱性を見つけ出しています。OS プラットフォームは利用しやすいため、悪意のある人物はありとあらゆる脆弱性の悪用方法を絶えず見つけ、OS プラットフォームに攻撃を仕掛ける可能性があります。CVE は一般的な懸念事項となっており、セキュリティの脅威に対処するために業界全体で利用されている手法です。

Red Hat Enterprise Linux (RHEL) と OpenShift Container Platform は、組織が CVE を効率的に処理する上で役立つセキュリティ機能を備えています。ハイブリッドクラウドに対応したオペレーティングシステムである Red Hat CoreOS は、セキュリティに留意して構築されており、以下の特徴を備えています。

• 攻撃対象領域の縮減
  • パッケージの数が少ないため、攻撃対象領域が小さくなります
• 不変性の制御
  • この OS はデフォルトでイミュータブルであり、制御された方法で更新されます
• SELinux がデフォルトでオン
  • プラットフォーム構成の一部としてプロセスのセキュリティ制御が可能です
• カーネルの名前空間と Cgroup
  • システムリソースに対するきめ細かいアクセス制御を提供し、不正なエンティティが大量のリソースを消費することを防止できます
• CRI-O コンテナランタイム、Kubelet
  • 脆弱性の少ない、サポート付きでテスト済みの標準的なコンテナランタイムを利用します
• Auditd によるホストレベルの監査
  • すべてのシステムイベントをロギングして識別するための監視機能を提供します

エッジにおけるソフトウェアのセキュリティ保護

すべてのセキュリティの脅威が組織の外部にあるわけではありません。組織は、セキュリティ上の問題を引き起こす可能性があるソフトウェアを故意または不用意に持ち込む個人に対処しています。悪意のある人物や不注意な従業員によってもたらされる可能性がある懸念事項として、次のようなものが挙げられます。

• セキュアでないイメージの使用
• 特権によるコンテナの実行
• コンテナ間の無制限な通信
• コンテナにおけるマルウェアやその他の不正または悪意のあるプロセスの実行
• ルートとしてのコンテナの実行

Red Hat は、次のような CI/CD パイプライン全体で OpenShift のコンテナセキュリティ機能を強化し、支援するパートナーのエコシステムを有しています。

• セキュリティポリシー
  • SCC (セキュリティ・コンテキスト・コントロール)
  • 非ルートコンテナ
  • リソースに対するアクセス制御
  • コンプライアンス監査と修復の自動化
• イメージのセキュリティ
  • ImageStreams による外部イメージの変更の追跡
  • イメージスキャン (Quay および Clair)
  • デプロイメントポリシー (アドミッション・コントローラー)

Red Hat のパートナーが提供するこれらの機能や機構により、組織は自社環境が不必要なセキュリティの脅威にさらされるリスクを軽減できます。

エッジにおけるハードウェアのセキュリティ保護

エッジハードウェアに関する主なセキュリティ上の脅威は、偽のデバイスです。ハードウェアがデータセンター内に限定されなくなったため、悪意のある人物がハードウェアにアクセスすることでその一部を不正な偽物に置き換えることができるようになりました。この偽のデバイスは、適切に設定されていれば、偽物でないかのように見える可能性があります。組織は、自社ネットワークに接続するすべてのデバイスが正規のデバイスであり、予想されるデータやネットワークへのアクセスを含め、期待どおりに動作することを確信できる必要があります。

この懸念に対処する1つの方法は、デバイスの認証です。認証は、改ざんされたデバイスや、セキュアでない旧式のソフトウェアが実行されているデバイスを識別する上で役立ちます。Red Hat OpenShiftデプロイメントの一部である Red Hat CoreOS は、セキュアブートに対応して設計されています。この機能によって、管理者はすべてのシステムリソースのデジタル署名を検証することにより、ブートローダーやシステムファイル、その他のパッケージが正当なものであることを確認できます。

結論

この記事では、エッジデプロイメントが直面する主要なセキュリティ上の課題のいくつかを取り上げ、Red Hat のテクノロジーがこれらのセキュリティの脅威を阻止する上でどのように役立つかを解説しました。今後の記事では、Red Hat のテクノロジーがどのようにパートナーのテクノロジーと連携して、エッジデプロイメントに対するセキュリティの脅威からのさらなる防御を提供するかについて説明する予定です。