GCP、AWS、Azure 別に見るクラウド VM への攻撃経路まとめ
概要 本稿は、クラウド内の仮想マシン (VM) サービスに対する潜在的な攻撃ベクトルを特定・緩和するための戦略について解説します。組織はこの情報を使って、VM サービスに関連する潜在的リスクを理解し、防御メカニズムを強化できます。この調査では、Amazon Web Services (AWS)、Azure、Google Cloud Platform (GCP) という 3 つの主要クラウド サービス プロバイダー (CSP) が提供する VM サービスを中心に取り上げます。 VM はあらゆるクラウド環境で最も利用数の多いリソースの 1 つで、その多さがゆえに、攻撃者らの主要な標的にされています。私たちの研究からは、インターネットに公開されているクラウドホストの 11% には、深刻度が「緊急 (Critical)」または「重要 (High)」と評価される脆弱性があることがわかっています。 VM が侵害されると、同インスタンス内のデータへのアクセスだけでなく、そのインスタンスに割り当てられている権限へのアクセスも、攻撃者に提供してしまうおそれがあります。VM などのコンピュート ワークロードは概してエフェメラル (短命) かつイミュータブル (不変) なので、侵害された ID のもたらすリスクは、VM 内にある侵害されたデータのもたらすリスクより、大きいと言ってもよいでしょう。 本稿で説明する攻撃経路はいずれも脆弱性ではありません。そうでなく、ハイブリッド環境ないしマルチクラウド環境全体で、VM の構成や更新、監視の合理化など、正当なユースケースを持つ意図された機能であることに留意する必要があります。ただし、セキュリティ ベスト プラクティスを遵守せず、アカウントが保護されておらず、アーキテクチャ設計に十分な注意が払われていなければ、悪意のあるユーザーにそれらのサービスや機能を悪用されてしまうおそれはあります。これらの攻撃経路の保護や緩和の責任は、クラウド ユーザーと管理者にあります。 パロアルトネットワークスのお客さまは、以下の製品を通じて、上記の脅威からより強力に保護されています。 Prisma Cloud をご利用のお客さまは、潜在的な攻撃経路を継続的に監視し、警告してくれる