はじめに こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです...
【Netskope】NetskopeのCSPMをきちんと運用しないともったいない!活用・運用の具体例を大紹介します
はじめに
こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです
ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています
今回は以前ご紹介したこちらCSPMブログの続きとしてどう活用していくのか?どう運用していくのか?をご紹介します!
Netskopeとは
Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです
詳細は下記を御覧ください
CSPMとは?
CSPMとはCloud Security Posture Managementの略であり、直訳するとクラウドセキュリティ態勢管理となります。ここのクラウドというのは現時点(2023/11)ではAWSやAzure、GCPといったパブリッククラウドが対象になります
メリットとしては、パブリッククラウドの設定ミスを事前に防止し悪意のある攻撃から守ること、多くの設定ミスが発見された場合重要度別に各確認項目が分かれているためどこから着手すべきか一目で確認できることなどが挙げられます。また、パブリッククラウド側にもAWS Security Hubといった形で同機能を有しておりますが、Netskopeを利用しておりセキュリティ監視は1つにまとめたい!マルチクラウドを利用している!などのユーザーにはNetskopeのCSPM機能はよさそうです
CSPMを運用する
CSPMライセンスがあると、下記ができるようになります
- パブリッククラウドに関するルールが事前定義/カスタマイズできるようになっているため、どのルールを自社環境に適用するか設定
前回ブログのパブリッククラウドとの連携をした後に上記を設定することで、導入の準備はできていくかと思います。そうすると、運用していくために必要なことは、
- 自環境のパブリッククラウドの問題点を洗い出し
- 上記で洗い出した問題点の対処順序を考え、順番に対処
- 上記を定期的に繰り返す
になります。AWS環境はお手軽に環境構築ができてしまう分、設定ミスが起きやすいため定期的に繰り返すことがセキュアな環境を保つためにもおすすめです。今回はUEBA機能でパブリッククラウドのユーザースコア/制御もあるため、CSPMの設定手順の後にそちらもご紹介します。具体的な手順は下記に示していきます
具体的な設定手順
自環境のパブリッククラウドの問題点を洗い出し
まずはパブリッククラウドでのセキュリティを評価するためのポリシー設定手順になります。具体的にはNetskopeの管理画面 > Policies > Security Postureで設定します。IaaSのProfiles & Rulesで評価ルールの一覧が確認することができます。また、ルールのカスタマイズもできますが今回は省略します
それでは設定ですが、IaaSのPolicies > New Policyから設定します。下記のような設定イメージになりますが、今回はAWSの連携した全アカウントに対して、ルールがまとまったプロファイルを評価基準として、これに属していない場合は管理画面にAlertを出すというものです。プロファイルに関しては、一般的なセキュリティ基準とされているようなものから、Netskope独自のものまで用意されています
上記を設定することで、ルールに準拠していない自環境の設定が確認することができます
検証環境かつ雑に使っているためある程度のFailureは覚悟していましたが、かなりの数がありました。これを見ると洗い出したものの、対処順序を考えたり、対処法を検索するのもかなりの手間になっていきますそんな思いを持ちながら、次に行きます
上記で洗い出した問題点の対処順序を考え、順番に対処
はい、今から上記で洗い出した2,280個のFailureに対して対処を考えていきます。その作業の1/2280を今回はご紹介します。まずは、対処順序です。ここで頼りになるのがSeverity(重大度)です。各ルールに重大度が設定されています
下記はルールの例です。重大度はCriticalです。Definitionもあります。優しいですね。まずは、この重大度順に対処順序を組み立てるのが良いと思います。重大度が低いものに関しては、環境によって対処必要ないものもあるかと思います
Overviewを確認すると、重大度別のfailureが出てきます。まずはCriticalから対処していこうと思います
続いて、対処です。Criticalの一つのルールを例としてみます。NetskopeのCSPMは事前に修復ガイダンスを用意してくれています。これに沿って実施するだけです
これで対処は完了です。地道ですが、修復ガイダンスも用意されており、どこに問題があるか、何が問題なのかが一目でわかるのですぐに対処まで行うことができます。また、なかには環境によって修復の必要がない(アラートをミュートする)ルールも多々あります
これを定期的に繰り返すことでポリシーに準拠したパブリッククラウド環境を維持できるのではないでしょうか
(パブリッククラウド利用制御)UEBA機能のポリシーチューニング
まずはUEBA機能のおさらいです。UEBA機能はライセンスにより、ユーザーに点数を振り、ポリシー違反 = 減点として一定の点数まで減点すると制御対象となるといった機能です。今回のUEBAとCSPMを組み合わせると、「管理対象外デバイスからAWSへの最初のアクセスがあった場合200点の減点とする。本来の持っている点数が1000点で、600点になった場合は管理画面への通知を、400点になった場合はAWSへのアクセスをブロックする」といった使い方ができます
上記の例を具体的に設定していきます。まずはポリシーの設定です。Netskopeの管理画面 > Policies > Behavior Analyticsから設定します
該当ポリシーは下記の右側になります。200点は可変となっており、利用しないポリシーはStatusをDisableにすることが可能です
続いて Policies > Real-time Protectionでの設定です。ここで減点した後どうするかを設定します。まずは「600点になった場合は管理画面への通知」です
続いて、「400点になった場合はAWSへのアクセスをブロックする」です
これでUEBA機能の設定は完了です。チューニングをする場合、Behavior Analyticsのポリシーの点数やStatus、Real-time ProtectionのDestinationやActionを調整していくといった形になります
さいごに
今回はCSPM機能の運用であったり、設定手順を紹介させていただきました。Netskopeを活用することで単純にパブリッククラウドの設定ミスを指摘してくれるわけではなく、UEBA機能も活用したパブリッククラウドへの振る舞い検知もあり、かなりの需要がありそうです。せっかく導入した機能なら、だれもが活用したい!と思いますのでぜひ参考にしていただければと思います