パブリッククラウドは本当に安全なのか？ デモでわかるSSRF対策のすすめ

パブリッククラウド活用のセキュリティ課題とは

クラウド特有のサービスが脆弱性となる危険性

一般的にAWSなどのクラウドサービスプロバイダ(CSP)とユーザー企業の間には、責任共有モデルが定められていて、ストレージやネットワークなどのセキュリティはサービスプロバイダが担保し、OSやミドルウェア、アプリケーションのセキュリティは、ユーザー企業が担保しなければなりません。

ユーザー企業は、例えば、機密情報をセキュアに保存する、サービス提供時のアクセス制限を厳格化する、IDやパスワードなど認証情報を容易に推測しにくいものにするといったことに留意することはもちろん、OSやミドルウェアへのセキュリティパッチの適用や、最新バージョンへの更新作業も求められますし、アプリケーション開発においては、悪意のある攻撃者やマルウェア等にも耐え得る堅牢なプログラムを書く、いわゆるセキュアコーディングも必要になります。

留意しなければならないのは、パブリッククラウドには、インスタンスのIDやネットワークの情報などを HTTP で取得する事ができるメタデータサービスと呼ばれる機能があることでしょう。前述の米大手金融機関の情報漏洩事件は、このサービスの脆弱性を狙ったものだったといわれています。SSRF（＝Server Side Request Forgery）といわれる攻撃です。

SSRFは、例えばクラウド上にある外部に公開されているサーバから、内部のサーバに送られるリクエストを偽造し、本来公開されてないサーバにアクセスするという手法。パブリッククラウドで提供されているメタデータサービスに対してこの攻撃が行われると、インスタンスの構成情報や認証情報が盗まれてしまい、その認証情報を用いることで、機密ファイルを格納しているサーバから不正に情報が取得されてしまうことになります。

クラウド特有のサービスが脆弱性となる危険性

こうした攻撃に対しては、例えばAWSにおけるIAMなど、アイデンティティ管理ツールを利用してメタデータサービス上の認証情報には必要最小限の権限のみを付与すること、OSやミドルウェアにセキュリティパッチを適用すること、アプリケーションでのセキュアコーディングを行うことなどの対策があります。 また、2019年11月に新しくリリースされたEC2インスタンスメタデータサービスv2 (IMDSv2)を有効にすることで、メタデータへのアクセスをより強固にすることも可能になりました。

一方で、クラウド上のアプリケーションを様々な不正攻撃から保護するために、 攻撃者が攻撃対象に接続できないように制限する WAF（Web Application Firewall）を利用する方法があります。 F5が提供するF5 Advanced WAFは、例えば、Amazon EC2などのインスタンスの前段にインスタンスを作成して配置することで、いわば、セキュリティゲートウェイ、リバースプロキシと同様の機能を提供し、不正な攻撃を遮断します。また、高度なファイアウォール機能により、一般的なシグネチャー判定に加え、他のWAFでは対応できないレイヤ 7の分散型サービス拒否（DDoS）攻撃の防御、振る舞い検知による不正通信をブロックする機能を提供します。 さらに、DATA GUARDと呼ばれる機能で、レスポンスに含まれる特定の文字列をマスキングすることが可能なため、SSRFなど既知の攻撃はもちろん、未知の手法によるゼロデイ攻撃によって情報が抜き取られた場合でも、個人情報など機密情報の漏洩を防止するなど、パブリッククラウド特有のリスクの最小化を実現します。

効果的なSSRF攻撃対策を実現するF5 Advanced WAF

▼動画デモ(音声解説付き！)でわかるF5 Advanced WAFでのSSRF攻撃対策