クラウドサーバーのアクセス制御・保護するセキュリティ対策

Ivan Dwyer April 2, 2019

安全なクラウドインフラストラクチャでコンテキストに応じた継続的アクセス管理を実現する新製品、Okta アドバンストサーバーアクセスを発売いたします。アドバンストサーバーアクセスは、オンプレミス、ハイブリッド、クラウドサーバーなどのITインフラストラクチャをシームレスな方法で活用する企業に向けてダイナミックアクセス制御を一元化して、資格情報の盗難、再利用、スプロール化、放棄された管理アカウントに起因するリスクを軽減するセキュリティ対策ソフトです。Personal Capital社、Workiva社、MailChimp 社、VirtualHealth社などのOktaのお客様が、すでにアドバンストサーバーアクセスをご利用されています。

企業の最も重要なインフラストラクチャ「サーバー」を保護

インフラストラクチャのセキュリティは、急速に進化するセキュリティ環境に追いつけていません。SSHキーやRDPパスワードなど、サーバーへのアクセスに使用されている従来の資格情報は高レベルの権限に直結するだけに、ハッカーに狙われることが多くなります。加えて、サーバーを使用する管理者、つまりシステム管理者、DevOpsエンジニア、サイト信頼性エンジニア(SRE)は通常、組織のアイデンティティシステムでアクセス制御されない、自分個人の資格情報を保持しています。従来型のインフラストラクチャ製品は、最善のセキュリティとはほど遠く、運用も難しいため、エンドユーザーエクスペリエンスはかなり低品質です。こうした製品は、企業環境全体のアクセス自動化を推進する際に大きな障害となるおそれがあります。

Okta アドバンストサーバーアクセス + 継続的認証

アドバンストサーバーアクセスでは、静的なキーをまったく使用しないサーバーアクセスの最新アプローチを採用しています。Oktaは、革新的な短期証明書メカニズムにより、Linuxおよび Windowsサーバーをサポートするあらゆるクラウド環境(パブリック、プライベート、ハイブリッド)ならびに AWS、GCP、Azureを利用するクラウドインスタンスのアクセス制御を一元化しました。

Okta アドバンストサーバーアクセスでは、デバイス、セッションコンテキスト、動的なユーザー情報に基づいて、ログイン要求ごとにきめ細かくアクセス可否を決定できます。このシナリオではOktaがインフラストラクチャであり、ローカルサーバーアカウントからはユニバーサルディレクトリが唯一の信頼できる情報源となります。Oktaライフサイクル管理で下流のサーバーに対するアカウントのプロビジョニングおよびプロビジョニング解除を自動的に行って、シングルサインオンをSSH/RDP認証ワークフローに組み込みます。最後に、多要素認証を配備して認証を強化します。

Okta アドバンストサーバーアクセスの動作のしくみ

Okta アドバンストサーバーアクセスでは、ログインのたびに1回限り有効の短期証明書を発行することによって重要なインフラストラクチャを保護します。誰がどのサーバーにどのデバイスからいつアクセスできるかが、アイデンティティに基づくワークフローで決定されます。各クライアント証明書は1回使用すると期限切れになるので、資格情報を管理する必要がありません。セキュリティポリシーを簡単に遵守でき、管理者のエクスペリエンスがシームレスになるため、セキュリティと生産性の両方が向上します。

  1. セッションを要求: ユーザーが、クライアントアプリに統合されたローカルSSHまたは RDPツールからサーバーディレクトリにログインします。
  2. 認証と認可: Oktaがユーザーを認証し、関連するロールベースアクセス制御とアクセスポリシーに照らして要求を承認します。
  3. 証明書を発行: 内蔵されている認証局が、要求の内容に限定された短期のクライアント証明書を作成し、クライアントに配信します。
  4. SSHまたはRDPで接続: クライアントが、そのクライアント証明書を使用して、目的のサーバーとの間で安全なSSHまたはRDPセッションを開始します。
  5. 監査イベント: ログインイベントがサーバーエージェントによって検出され、監査ログまたはサードパーティのSIEMサービスに送られます。

アドバンストサーバーアクセスによるソリューション

クラウドベースかつゼロトラストの基本原則で設計されたOktaアドバンストサーバーアクセスは、以下の点でインフラストラクチャ環境を進化させます。

  • 資格情報の盗難のリスクを低減: 静的なキーとパスワードの代わりに、1回限り有効の短期クライアント証明書を使用します。各証明書の権限内容は、ある時点における個々の要求に限定されているため、攻撃の実行対象となる範囲を大幅に縮小できます。
  • サーバーのアクセス制御を一元化: ローカルサーバーのユーザーおよびグループアカウントのエンドツーエンドライフサイクルを、単一のディレクトリ下でアクセスの自動化をします。動的なユーザーおよびデバイス情報に基づくコンテキストに応じたアクセス制御を導入すると同時に、SSHおよびRDPワークフローでシームレスなシングルサインオンと多要素認証を実現できます。
  • 自動化の障壁を除去: Chef、Puppet、Ansible、Terraformなどの構成管理ツールへのサーバー登録を簡単に自動化できます。マルチクラウド環境に対応しているので、対処可能なイベントをすべてAPI化してカスタムワークフローに組み込めます。
  • シームレスなエンドユーザーエクスペリエンスを実現: SSHおよびRDPプロトコルと連携して動作するので、CLIツールやGUIツールとネイティブレベルで統合できます。アドバンストサーバーアクセスはSaaSとして提供されるため、複雑な資格情報およびアカウント管理を抽象化して、それらの違いを意識せずに作業できます。自動化によって、セキュリティを低下させることなく、動的な環境の構成を簡素化できるのです。

提供状況について

Okta アドバンストサーバーアクセスは只今販売中です。詳しくは、アドバンストサーバーアクセスのページをご覧ください。