web-dev-qa-db-ja.com

セキュリティエンジニアが運用サーバーへの管理者アクセス権を持つことは許容されますか?

私の組織では、これまでサーバーインフラストラクチャチームが運用サーバーへのすべての管理アクセスを保持してきました。最近、セキュリティ体制を強化しようとしているため、数人の新しいセキュリティエンジニアを採用しました。私たちは彼らのために新しいツールセットに多額の資金を投資しており、彼らが彼らの仕事を効果的に行えるようにするためにポリシーとセキュリティモデルを変更する必要がある場所を特定しようとしています。

一部のセキュリティエンジニアは、新しいツールによって報告された不審なアクティビティを調査するために、運用サーバーへの管理アクセス権を持っている必要があると信じています。

サーバーインフラストラクチャチームは、特定のインシデントに対して必要に応じて個々のサーバーへのアクセスを許可できると提案しています。セキュリティエンジニアは、そのような高摩擦プロセスは調査の速度を低下させる可能性があると主張します。調査は本質的に、数分が数えられる状況で行われ、エルボーになるまでどのサーバーにアクセスする必要があるかを実際に知らない場合に起こります。 -調査の詳細、および新しいサーバーへのアクセスを要求するために数分ごとに一時停止することは、不必要に面倒です。サーバーインフラストラクチャチームは、セキュリティエンジニアのツールはエンジニアが必要とするデータの大部分を可視化する必要があると主張し、エンジニアに包括的な管理アクセスを許可することに消極的です。

そのような状況に推奨されるベストプラクティスはありますか?サーバーインフラストラクチャチームがセキュリティのために最低限の特権の原則を維持したいという要望を理解しています。しかし、セキュリティエンジニアはその役割の性質からいくぶん暗黙のうちに信頼されていることも理解しています。大規模な組織では、セキュリティエンジニアによるサーバーへのアクセスは通常どのように管理されますか?

5
loneboat

良い質問。これは難しいトピックです。簡単な答えは「依存する」であり、完全な答えはありません。また、チームの詳細な範囲を考慮せずに、このアクセス権が必要かどうかを規範的に回答することはできません。しかし、私はより良いコンテキストを提供しようとします。

まず、作業を完了する必要があり、セキュリティエンジニアは作業を完了できない場合に良い点があります。セキュリティエンジニアがアクセスできることを確認してください。問題を分析して、セキュリティエンジニアがアクセスする必要があるかどうかを特定する必要があります。これらの最初のステップは明白かもしれませんが、とにかくそれらをリストします:

  1. セキュリティエンジニアはどのようなタスクを実行する必要がありますか?具体的に。質問への答えは、セキュリティエンジニアの作業の範囲に大きく依存します。
  2. これらのタスクのうち、現在のアクセスにはどのようなギャップがありますか?
  3. 直接アクセスを提供せずに、必要な情報/コントロールへのアクセスを許可する方法はありますか?
  4. そうする価値はありますか?多くの場合、必要な情報とコントロールを提供するためのソリューションを試して実装するのは、作業量が多すぎたり、高すぎたり(つまり、それだけの価値がない)かもしれません。この場合、直接アクセスが最善/最も安価なソリューションです。

セキュリティエンジニアがアクセスを必要とする場合は(ほとんどの場合)、可能な限り安全を確保するために多層防御を採用する必要があります。つまり、インシデントを未然に防ぎ、適切な対応力を備える必要があります。そうすることで、リスクを管理可能なレベルに減らすことができます。

いくつかの考慮事項:

  • インシデント防止
    • 最小権限:できる限り少ない数のセキュリティエンジニアのアクセスを許可します。アクセス権のあるアカウントが増えると、攻撃対象が増えます。アカウントごとに、次のことを心配する必要があります。
      1. 侵害されているアカウント、および
      2. 意図的または意図的ではない損害を与える従業員。
    • Strong Authentication(multifactor):強力な認証を適用して、アカウントが侵害されるのを防ぎ、否認防止を強化します。
    • アクセシビリティを制限する:可能であれば、イントラネット、VPN、またはジャンプボックスからのアクセスを要求して、ネットワークのシステムに到達する機能を減らします。
  • インシデントレスポンス-インシデントが発生した場合、これらは状況への対処に役立ちます
    • 否認防止-システムへの管理者アクセスは、管理者が自分を拒否することを可能な限り防止する方法で、十分に文書化および監査されている必要があります。アクションを実行しました。
    • 職務分掌-たとえば、セキュリティエンジニアはログを変更する権限を持っていてはなりません。これは否認防止に役立ちます。また、セキュリティエンジニアが構成/ソフトウェア/データのバックアップへのアクセスを許可しないことにより、修復不可能な損傷を与えないことを確認してください。

他にもたくさんありますが、個人的には、上記が十分に確立されていれば、インフラストラクチャチームはセキュリティエンジニアにアクセスを許可するほうが快適だと感じます。

要約:チームに、仕事をするために必要なアクセス権を与えます。必要なリソースへのアクセスを制限しないでください。はい、これは攻撃対象領域を拡大することを意味しますが、多層防御を使用してリスクを最小限に抑えることができます。

4
theoneandonly2