Cisco Japan Blog

Cisco Secure Workload のセグメンテーション手法

1 min read



攻撃者が内部への侵入に成功した後、より価値の高い情報を求めて内部で行動を拡大していくいわゆる「ラテラルムーブメント」により情報漏洩被害は更に拡大します。このラテラルムーブメントへの対策としてマイクロセグメンテーションとホワイトリストポリシーによるアプリケーション保護は非常に有効な手段となりますが、最適なセグメンテーションと正しいホワイトリストポリシーの把握には膨大な労力を伴います。

Cisco Secure Workload はマシンラーニング等の分析技術を活用することでセグメンテーションとポリシーの生成をほぼ自動化し、お客様の負担を大幅に低減することが可能なソリューションです。

一方で、組織内でルール化されているポリシーや一定のセキュリティ基準に違反した場合のポリシーの実装にはお客様の明確な「意図」をセキュリティポリシーとして反映できる仕組みが必要になります。今回のブログではそんなお客様の「意図」を柔軟に表現する Cisco Secure Workloadの「Inventory Filter」機能をご紹介いたします。

Inventory Filter は特定の条件に該当する Workload をグルーピングすることができる機能です。条件に該当する Workload を1つのグループとして扱うことができますので、条件に該当する Workload から DB への通信は禁止、条件に該当する Workload へのアクセスは SSH 以外は許可しない、といったポリシーを定義することが可能になります。では具体的にどんな条件で Filter が書けるのか実際に見ていきましょう。

[特定の脆弱性]
CVE の脆弱性 ID を条件にした Filter です。
Package CVE = CVE-2017-87xx
といった条件式で Filter を作成します。特定の脆弱性を持った Workload をグルーピングし、一時的に隔離したり通信を制限したりすることが可能となります。

[脆弱性スコアの深刻度]
CVSS(Common Vulnerability Scoring System)のスコアを条件にした Filter です。
CVE Score v3 > 7
CVE Score v2 > 8
といった条件式で Filter を作成します。一定以上のスコアの脆弱性を内包する Workload をグルーピングし、一時的に隔離したり通信を制限したりすることが可能となります。

[CVSS構成要素の種類]
CVSSのBaseスコア構成要素の種類を条件にした Filter です。
Attack Vector (CVSS v3) = NETWORK
Attack Complexity (CVSS v3) = LOW
Attack Privileges Required (CVSS v3) = LOW
といった条件でFiterを作成します。
攻撃の特性や要素を想定した上でリスクのある Workload をグルーピングすることが可能となります。

[インストール済みパッケージとそのバージョン]
Workloadがインストールしているパッケージとそのバージョンを条件にした Filter です。
Package Info < openssl#1.0.2k
といった条件式で Filter を作成します。組織内で予め承認されいているパッケージとバージョンの組み合わせに違反するようなソフトウェアを持つ Workload をグルーピングすることが可能となります。

[OS種別とそのバージョン]
WorkloadのOS とバージョンの組み合わせを条件にした Filter です。
OS = CentOS and OS Version = 7.2
といった組み合わせの条件式でFilterを作成します。脆弱性対応などで特定の OS バージョンの Workload をグルーピングし、任意の通信ポリシーを適用したりすることが可能となります。

[プロセスのバイナリハッシュ値]
Workload上で起動しているプロセスのバイナリハッシュ値を条件にした Filter です。
Process Binary Hash = xxxxxxxxxxxxx
といった条件式でFilterを作成します。起動しているアプリケーションのバージョンが厳密に一致していないとバイナリハッシュ値は一致しませんので、指定バージョン以外を使っている Workload はグルーピングから外して通信させない、といった制御が可能となります。

[任意に設定したタグ]
Cisco Secure Workload には IP アドレスをキーとして Workload に任意のタグを付与することができる「Annotation」という機能があります。この Annotation タグを条件とした Filter の設定も可能となります。
*Environment = Production
*Service = DB
*Location = Tokyo-DC
といった形でAnnotationタグを条件としてFilterを作成します。Workload の種類や稼働している環境・場所・システム名などの要素を組み合わせてグルーピングできますので、開発環境と商用環境の通信は禁止、といった制御が可能となります。尚、Annotation タグはマニュアルで設定する以外にも LDAP や CMDB と API 連携することで Workload に関するタグ情報を自動的に取得することも可能となっています。

以上、設定可能なFilter種別のご紹介でした。
ぜひ、Cisco Secure Workload の Inventory Filter 機能をうまく活用してよりセキュアなアプリケーション環境を実現してください!

https://www.cisco.com/c/ja_jp/products/security/tetration/index.html

Authors

満江 貴之

Technical Solution Architect

GSSO Tetration Team

コメントを書く