特権アクセスでは、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、テナントとリソースへの特権アクセスを保護するためのコントロールを対象とします。
PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2、AC-6 | 7.1, 7.2, 8.1 |
セキュリティ原則: ビジネスへの影響が大きいすべてのアカウントを確実に特定します。 クラウドのコントロール プレーン、管理プレーン、およびデータ/ワークロード プレーン内の特権/管理アカウントの数を制限します。
Azure ガイダンス: Azure でホストされているリソースへの直接または間接的な管理アクセスを使用して、すべてのロールをセキュリティで保護する必要があります。
Azure Active Directory (Azure AD) は、Azure の既定の ID およびアクセス管理サービスです。 Azure AD で最も重要な組み込みロールは、グローバル管理者と特権ロール管理者です。これら 2 つのロールに割り当てられたユーザーは管理者ロールを委任できるためです。 これらの特権を使用すると、ユーザーは Azure 環境内のすべてのリソースを直接または間接的に読み取り、変更できます。
- グローバル管理者/会社管理者: このロールを持つユーザーは、Azure AD のすべての管理機能と、Azure AD ID を使用するサービスにアクセスできます。
- 特権ロール管理者: このロールを持つユーザーは、Azure AD および Azure AD Privileged Identity Management (PIM) 内でロールの割り当てを管理できます。 さらに、このロールにより、PIM と管理単位のすべての側面を管理できます。
Azure AD の外部には、リソース レベルでの特権アクセスに不可欠なロールが組み込まれています。
- 所有者: Azure RBAC でロールを割り当てる機能を含め、すべてのリソースを管理するためのフル アクセスを許可します。
- 共同作成者: すべてのリソースを管理するためのフル アクセス権を付与しますが、Azure RBAC でロールを割り当てたり、Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。
- ユーザー アクセス管理者: Azure リソースへのユーザー アクセスを管理できます。
注: 特定の特権アクセス許可が割り当てられた Azure AD レベルまたはリソース レベルでカスタム ロールを使用する場合は、その他の重要なロールを管理する必要がある場合があります。
さらに、Azure Enterprise Agreement (EA) ポータルで次の 3 つのロールを持つユーザーも、Azure サブスクリプションを直接または間接的に管理するために使用できるため、制限する必要があります。
- アカウント所有者: このロールを持つユーザーは、サブスクリプションの作成や削除など、サブスクリプションを管理できます。
- エンタープライズ管理者: このロールが割り当てられているユーザーは、(EA) ポータル ユーザーを管理できます。
- 部門管理者: このロールを割り当てられたユーザーは、部門内のアカウント所有者を変更できます。
最後に、Active Directory ドメイン コントローラー (DC)、セキュリティ ツール、ビジネス クリティカルなシステムにエージェントをインストールしたシステム管理ツールなど、ビジネスクリティカルな資産への管理アクセス権を持つ他の管理、ID、セキュリティ システムの特権アカウントも制限します。 これらの管理システムとセキュリティ システムを侵害する攻撃者は、ビジネス上重要な資産を侵害するためにすぐにそれらを武器化できます。
Azure の実装と追加のコンテキスト:
- Azure AD での管理者ロールのアクセス許可
- Azure Privileged Identity Management セキュリティ アラートを使用する
- Azure AD でのハイブリッドデプロイとクラウド デプロイの特権アクセスのセキュリティ保護
AWS ガイダンス: AWS でホストされているリソースへの直接または間接的な管理アクセスを使用して、すべてのロールをセキュリティで保護する必要があります。
特権ユーザーまたは管理ユーザーをセキュリティで保護する必要があります。
- ルート ユーザー: ルート ユーザーは、AWS アカウントの最上位レベルの特権アカウントです。 ルート アカウントは厳しく制限し、緊急時にのみ使用する必要があります。 PA-5 の緊急アクセス制御 (緊急アクセスのセットアップ) を参照してください。
- 特権アクセス許可ポリシーを持つ IAM ID (ユーザー、グループ、ロール): AdministratorAccess などのアクセス許可ポリシーで割り当てられた IAM ID は、AWS のサービスとリソースへのフルアクセスを持つことができます。
AWS の ID プロバイダーとして Azure Active Directory (Azure AD) を使用している場合は、Azure AD で特権ロールを管理するための Azure ガイダンスを参照してください。
また、ビジネスクリティカルなシステムにエージェントをインストールした AWS Cognito、セキュリティ ツール、システム管理ツールなど、ビジネスクリティカルな資産への管理アクセス権を持つ他の管理、ID、およびセキュリティ システムの特権アカウントも制限するようにしてください。 これらの管理システムとセキュリティ システムを侵害する攻撃者は、ビジネス上重要な資産を侵害するためにすぐにそれらを武器化できます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: GCP でホストされるリソースへの直接または間接的な管理アクセスを使用して、すべてのロールをセキュリティで保護する必要があります。
Google Cloud で最も重要な組み込みロールは、スーパー管理者です。 スーパー管理者は、管理コンソールですべてのタスクを実行でき、元に戻せない管理アクセス許可を持ちます。 日常的な管理にはスーパー管理者アカウントを使用しないことをお勧めします。
基本ロールは非常に制限の厳しいレガシ ロールであり、基本的なロールはすべての Google Cloud リソースに広範なアクセス権を付与されるため、運用環境では使用しないことをお勧めします。 基本的なロールには、ビューアー、エディター、所有者ロールが含まれます。 代わりに、定義済みロールまたはカスタム ロールを使用することをお勧めします。 重要な特権定義済みロールは次のとおりです。
- 組織管理者: このロールを持つユーザーは、IAM ポリシーを管理し、組織、フォルダー、およびプロジェクトの組織ポリシーを表示できます。
- 組織ポリシー管理者: このロールを持つユーザーは、組織ポリシーを設定することで、組織がクラウド リソースの構成に対してどのような制限を課す必要があるかを定義できます。
- 組織の役割管理者: このロールを持つユーザーは、組織内のすべてのカスタム ロールとその下のプロジェクトを管理できます。
- セキュリティ管理者: このロールを持つユーザーは、任意の IAM ポリシーを取得して設定できます。
- 管理者の拒否: このロールを持つユーザーには、IAM 拒否ポリシーの読み取りと変更を行うアクセス許可があります。
さらに、特定の定義済みロールには、組織、フォルダー、およびプロジェクト レベルの特権 IAM アクセス許可が含まれています。 これらの IAM アクセス許可には、次のものが含まれます。
- 組織管理者
- フォルダIAMAdmin
- プロジェクトIAMAdmin
さらに、さまざまなプロジェクトのアカウントにロールを割り当てるか、Google Kubernetes Engine でバイナリ承認を利用して、職務の分離を実装します。
最後に、クラウド DNS、セキュリティ ツール、ビジネス クリティカルなシステムにエージェントをインストールしたシステム管理ツールなど、ビジネスクリティカルな資産への管理アクセス権を持つ他の管理、ID、およびセキュリティ システムの特権アカウントも制限します。 これらの管理システムとセキュリティ システムを侵害する攻撃者は、ビジネス上重要な資産を侵害するためにすぐにそれらを武器化できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-2: ユーザー アカウントとアクセス許可の永続的なアクセスを回避する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| なし | AC-2 | なし |
セキュリティ原則: 永続的な特権を作成する代わりに、Just-In-Time (JIT) メカニズムを使用して、さまざまなリソース層に特権アクセスを割り当てます。
Azure ガイダンス: Azure AD Privileged Identity Management (PIM) を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) 特権アクセスを有効にします。 JIT は、ユーザーが特権タスクを実行するための一時的なアクセス許可を受け取るモデルです。これにより、アクセス許可の有効期限が切れた後に、悪意のあるユーザーまたは承認されていないユーザーがアクセスを取得できなくなります。 ユーザーが必要な場合にのみ、アクセスが許可されます。 PIM は、Azure AD 組織で疑わしいアクティビティや安全でないアクティビティがある場合にも、セキュリティ アラートを生成できます。
Microsoft Defender for Cloud の Just-In-Time (JIT) で VM アクセス機能を使用して、機密性の高い仮想マシン (VM) 管理ポートへの受信トラフィックを制限します。 これにより、VM への特権アクセスは、ユーザーが必要な場合にのみ付与されます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS セキュリティ トークン サービス (AWS STS) を使用して、AWS API を介してリソースにアクセスするための一時的なセキュリティ資格情報を作成します。 一時的なセキュリティ資格情報は、IAM ユーザーが使用できる長期的なアクセスキーの資格情報とほぼ同じように機能しますが、次の違いがあります。
- 一時的なセキュリティ資格情報の有効期間は、分から数時間です。
- 一時的なセキュリティ資格情報はユーザーと共に保存されませんが、動的に生成され、要求されたときにユーザーに提供されます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: IAM 条件付きアクセスを使用して、Cloud Identity ユーザーに付与される許可ポリシーの条件付きロール バインドを使用してリソースへの一時的なアクセスを作成します。 特定のリソースにアクセスするための時間ベースの制御を適用するように、日付/時刻属性を構成します。 一時的なアクセスは、分から数時間までの短期間の有効期間を持つ場合や、曜日または時間に基づいて付与される場合があります。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-3: ID とエンタイトルメントのライフサイクルを管理する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5、AC-6 | 7.1, 7.2, 8.1 |
セキュリティ原則: 自動化されたプロセスまたは技術コントロールを使用して、要求、レビュー、承認、プロビジョニング、プロビジョニング解除など、ID とアクセスのライフサイクルを管理します。
Azure ガイダンス: Azure AD エンタイトルメント管理機能を使用して、(Azure リソース グループの) アクセス要求ワークフローを自動化します。 これにより、Azure リソース グループのワークフローで、アクセスの割り当て、レビュー、有効期限、デュアルまたはマルチステージの承認を管理できます。
アクセス許可管理を使用して、マルチクラウド インフラストラクチャ全体のユーザー ID とワークロード ID に割り当てられている未使用の過剰なアクセス許可を検出し、自動的に適切なサイズにし、継続的に監視します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Access Advisor を使用して、ユーザー アカウントのアクセス ログとリソースの権利を取得します。 AWS IAM と統合してアクセスの割り当て、レビュー、削除を管理するための手動または自動化されたワークフローを構築します。
注: ID と権利のライフサイクルを管理するために、AWS Marketplace で使用できるサードパーティのソリューションがあります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google のクラウド監査ログを使用して、ユーザー アカウントの管理者アクティビティとデータ アクセス監査ログを取得し、リソースの権利を取得します。 GCP IAM と統合してアクセスの割り当て、レビュー、削除を管理するための手動または自動化されたワークフローを構築します。
Google Cloud Identity Premium を使用して、コア ID とデバイス管理サービスを提供します。 これらのサービスには、自動ユーザー プロビジョニング、アプリのホワイトリスト登録、自動モバイル デバイス管理などの機能が含まれます。
注: Id と権利のライフサイクルを管理するために、Google Cloud Marketplace で使用できるサードパーティ製のソリューションがあります。
GCP の実装と追加のコンテキスト:
- IAM アクセス アドバイザー
- クラウド ID と Atlassian Access: 組織全体のユーザー ライフサイクル管理
- API へのアクセスの許可と取り消し
- Google Cloud プロジェクトへのアクセスを取り消す
顧客のセキュリティ利害関係者 (詳細情報):
PA-4: ユーザー アクセスを定期的に確認して調整する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2、AC-6 | 7.1、7.2、8.1、A3.4 |
セキュリティ原則: 特権アカウントの権利の定期的なレビューを実施します。 アカウントに付与されたアクセス権が、コントロール プレーン、管理プレーン、およびワークロードの管理に対して有効であることを確認します。
Azure ガイダンス: Azure テナント、Azure サービス、VM/IaaS、CI/CD プロセス、エンタープライズ管理およびセキュリティ ツールなど、Azure のすべての特権アカウントとアクセス権を確認します。
Azure AD アクセス レビューを使用して、Azure AD ロール、Azure リソース アクセス ロール、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセスを確認します。 Azure AD レポートでは、古いアカウントや、一定の時間使用されていないアカウントを検出するのに役立つログを提供することもできます。
さらに、Azure AD Privileged Identity Management は、特定のロールに対して過剰な数の管理者アカウントが作成されたときにアラートを生成し、古いまたは不適切に構成された管理者アカウントを識別するように構成できます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS アカウント、サービス、VM/IaaS、CI/CD プロセス、エンタープライズ管理およびセキュリティ ツールなど、AWS のすべての特権アカウントとアクセス権を確認します。
IAM Access Advisor、Access Analyzer、および Credential Reports を使用して、リソース アクセス ロール、グループ メンバーシップ、およびエンタープライズ アプリケーションへのアクセスを確認します。 IAM Access Analyzer と資格情報レポートレポートでは、古いアカウントや、一定の時間使用されていないアカウントを検出するのに役立つログを提供することもできます。
AWS の ID プロバイダーとして Azure Active Directory (Azure AD) を使用している場合は、Azure AD アクセス レビューを使用して、特権アカウントとアクセス権を定期的に確認します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: クラウド ID アカウント、サービス、VM/IaaS、CI/CD プロセス、エンタープライズ管理およびセキュリティ ツールなど、Google Cloud のすべての特権アカウントとアクセス権を確認します。
クラウド監査ログと Policy Analyzer を使用して、リソース アクセス ロールとグループ メンバーシップを確認します。 Policy Analyzer で分析クエリを作成して、特定のリソースにアクセスできるプリンシパルを決定します。
Google Cloud の ID プロバイダーとして Azure Active Directory (Azure AD) を使用している場合は、Azure AD アクセス レビューを使用して、特権アカウントとアクセス権を定期的に確認します。
さらに、Azure AD Privileged Identity Management は、特定のロールに対して過剰な数の管理者アカウントが作成されたときにアラートを生成し、古いまたは不適切に構成された管理者アカウントを識別するように構成できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-5: 緊急アクセスを設定する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| なし | AC-2 | なし |
セキュリティ原則: 緊急時に重要なクラウド インフラストラクチャ (ID やアクセス管理システムなど) から誤ってロックアウトされないように、緊急アクセスを設定します。
緊急アクセス アカウントはほとんど使用しないでください。また、侵害された場合に組織に大きく損害を与える可能性がありますが、組織に対する可用性は、必要な場合のいくつかのシナリオでも非常に重要です。
Azure ガイダンス: Azure AD 組織から誤ってロックアウトされないようにするには、通常の管理者アカウントを使用できない場合に、アクセス用に緊急アクセス アカウント (グローバル管理者ロールを持つアカウントなど) を設定します。 緊急アクセスアカウントは通常、高い特権を持ち、特定の個人に割り当ててはなりません。 緊急アクセス用アカウントは、通常の管理者アカウントを使うことができない、緊急時や "ブレーク グラス" シナリオのために制限されています。
緊急アクセス アカウントの資格情報 (パスワード、証明書、スマート カードなど) は、緊急時にのみ使用する権限を持つ個人に対してのみ、セキュリティで保護され、認識されるようにする必要があります。 また、このプロセスのセキュリティを強化するために、追加のコントロール (たとえば、資格情報を 2 つの部分に分割し、別のユーザーに付与するなど) を使用することもできます。 また、サインインログと監査ログを監視して、緊急アクセスアカウントが承認されたときにのみ使用されるようにする必要があります。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS の "ルート" アカウントは、通常の管理タスクには使用しないでください。 "ルート" アカウントは高い特権を持つため、特定の個人に割り当ててはいけません。 管理用の通常のアカウントが使用できない場合は、利用を緊急時や「緊急事態」のシナリオに限定する必要があります。 毎日の管理タスクでは、個別の特権ユーザー アカウントを使用し、IAM ロールを使用して適切なアクセス許可を割り当てる必要があります。
また、ルート アカウントの資格情報 (パスワード、MFA トークン、アクセス キーなど) がセキュリティで保護され、緊急時にのみ使用する権限を持つ個人にのみ認識されるようにする必要があります。 ルート アカウントに対して MFA を有効にする必要があります。また、このプロセスのセキュリティを強化するために、デュアル コントロール (資格情報を 2 つの部分に分割して別のユーザーに付与するなど) などの追加のコントロールを使用することもできます。
また、CloudTrail または EventBridge のサインイン ログと監査ログを監視して、ルート アクセス アカウントが承認されたときにのみ使用されるようにする必要があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Identity スーパー管理者アカウントは、通常の管理タスクには使用しないでください。 スーパー管理者アカウントは高い特権を持つため、特定の個人に割り当ててはいけません。 管理用の通常のアカウントが使用できない場合は、利用を緊急時や「緊急事態」のシナリオに限定する必要があります。 毎日の管理タスクでは、個別の特権ユーザー アカウントを使用し、IAM ロールを使用して適切なアクセス許可を割り当てる必要があります。
また、スーパー管理者アカウントの資格情報 (パスワード、MFA トークン、アクセス キーなど) がセキュリティで保護され、緊急時にのみ使用する権限を持つ個人にのみ認識されるようにする必要があります。 スーパー管理者アカウントに対して MFA を有効にする必要があります。また、このプロセスのセキュリティを強化するために、デュアル コントロール (資格情報を 2 つの部分に分割して別のユーザーに付与するなど) などの追加のコントロールを使用することもできます。
また、Cloud 監査ログのサインイン ログと監査ログを監視するか、ポリシー アナライザーにクエリを実行して、スーパー管理者アカウントが承認されたときにのみ使用されるようにする必要があります。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-6: 特権アクセス ワークステーションを使用する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2、SC-2、SC-7 | なし |
セキュリティ原則: セキュリティで保護された分離ワークステーションは、管理者、開発者、重要なサービス オペレーターなどの機密性の高いロールのセキュリティにとって非常に重要です。
Azure ガイダンス: Azure Active Directory、Microsoft Defender、Microsoft Intune を使用して、特権アクセス ワークステーション (PAW) をオンプレミスまたは Azure に特権タスク用にデプロイします。 PAW は、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなど、セキュリティで保護された構成を適用するために一元的に管理する必要があります。
また、仮想ネットワーク内でプロビジョニングできる完全にプラットフォームで管理される PaaS サービスである Azure Bastion を使用することもできます。 Azure Bastion では、Web ブラウザーを使用して Azure portal から直接仮想マシンに RDP/SSH 接続できます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Systems Manager でセッション マネージャーを使用して、EC2 インスタンスへのアクセス パス (接続セッション) を作成するか、特権タスク用の AWS リソースへのブラウザー セッションを作成します。 セッション マネージャーでは、ポートフォワーディングを介して宛先ホストに RDP、SSH、および HTTPS 接続を許可します。
また、Azure Active Directory、Microsoft Defender、または Microsoft Intune を通じて一元的に管理される特権アクセス ワークステーション (PAW) をデプロイすることもできます。 中央管理では、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなど、セキュリティで保護された構成を適用する必要があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Identity-Aware プロキシ (IAP) Desktop を使用して、特権タスクのコンピューティング インスタンスへのアクセス パス (接続セッション) を作成します。 IAP Desktop では、ポートフォワーディングを介して宛先ホストへの RDP および SSH 接続を許可します。 さらに、外部に接続されている Linux コンピューティング インスタンスは、ブラウザー内の SSH 経由で Google Cloud コンソール経由で接続できます。
また、Google Workspace Endpoint Management または Microsoft ソリューション (Azure Active Directory、Microsoft Defender、Microsoft Intune) を通じて一元管理される特権アクセス ワークステーション (PAW) をデプロイすることもできます。 中央管理では、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなど、セキュリティで保護された構成を適用する必要があります。
パラメーターが定義された信頼できる環境に安全にアクセスするための要塞ホストを作成することもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2、AC-3、AC-6 | 7.1, 7.2 |
セキュリティ原則: 十分な管理 (最小限の特権) の原則に従って、きめ細かいレベルでアクセス許可を管理します。 ロールベースのアクセス制御 (RBAC) などの機能を使用して、ロールの割り当てを使用してリソース アクセスを管理します。
Azure ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ロールの割り当てを使用して Azure リソース アクセスを管理します。 RBAC を使用して、ユーザー、グループ、サービス プリンシパル、マネージド ID にロールを割り当てることができます。 特定のリソースには定義済みの組み込みロールがあり、これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたはクエリを実行できます。
Azure RBAC を使用してリソースに割り当てる特権は、常にロールに必要なものに制限する必要があります。 制限付き特権は、Azure AD Privileged Identity Management (PIM) の Just-In-Time (JIT) アプローチを補完します。これらの特権は定期的に確認する必要があります。 必要に応じて、PIM を使用して期限付き割り当てを定義することもできます。これは、ユーザーが指定した開始日と終了日内にのみロールをアクティブ化できるロールの割り当ての条件です。
注: Azure 組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。
Azure の実装と追加のコンテキスト:
- Azure ロールベースのアクセス制御 (Azure RBAC) とは
- Azure で RBAC を構成する方法
- Azure AD ID とアクセス レビューを使用する方法
- Azure AD Privileged Identity Management - 期限付き割り当て
AWS ガイダンス: AWS ポリシーを使用して AWS リソースアクセスを管理します。 ポリシーには、ID ベースのポリシー、リソースベースのポリシー、アクセス許可の境界、AWS Organizations サービス制御ポリシー (SCP)、アクセス制御リスト、セッション ポリシーの 6 種類があります。 一般的なアクセス許可のユース ケースには、AWS マネージド ポリシーを使用できます。 ただし、管理ポリシーには、ユーザーに割り当てるべきではない過剰なアクセス許可が含まれている可能性があることに注意する必要があります。
また、AWS ABAC (属性ベースのアクセス制御) を使用して、IAM エンティティ (ユーザーまたはロール) や AWS リソースなど、IAM リソースにアタッチされた属性 (タグ) に基づいてアクセス許可を割り当てることもできます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud IAM ポリシーを使用して、ロールの割り当てを通じて GCP リソース アクセスを管理します。 Google Cloud の定義済みロールは、一般的なアクセス許可のユース ケースに使用できます。 ただし、定義済みのロールには、ユーザーに割り当ててはならない過剰なアクセス許可が割り当てられる可能性があることに注意する必要があります。
さらに、IAM レコメンダーでポリシーインテリジェンスを使用して、アカウントから過剰なアクセス許可を特定して削除します。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-8 クラウド プロバイダーサポートのアクセス プロセスを決定する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4、AC-2、AC-3 | なし |
セキュリティ原則: ベンダー サポート要求を要求および承認するための承認プロセスとアクセス パスを確立し、セキュリティで保護されたチャネルを介してデータに一時的にアクセスします。
Azure ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して、Microsoft によって行われた各データ アクセス要求を確認して承認または拒否します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS サポート チームがデータにアクセスする必要があるサポート シナリオでは、AWS サポート ポータルでアカウントを作成してサポートを要求します。 読み取り専用データ アクセスの提供や、AWS サポートがデータにアクセスするための画面共有オプションなど、使用可能なオプションを確認します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud カスタマー ケアがデータにアクセスする必要があるサポート シナリオでは、アクセス承認を使用して、Cloud Customer Care によって行われた各データ アクセス要求を確認して承認または拒否します。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):