ダイナミックアクセスリース

概要

ダイナミックアクセスリースは、AWS アカウントの保護されたリソースへのアクセスを制御するCloudGuard機能です。アクセスは、特定のサービスグループ(SSH やリモートターミナルなど) を介して、特定のユーザに限られた期間、リソースに対して付与されます。指定されたユーザのサービスへのアクセス契約です。

動的アクセスリースでは、AWSクラウドサーバやその他のリソースをほぼ密閉し、小さなセキュリティの "穴 "を開ける。管理アクティビティは必要な場合にのみ行います。

- ダイナミックアクセスは、AWS 環境でのみ使用できます。

アクセスリース

アクセスリースとは、AWS クラウドエンティティの特定のサービスグループへのアクセスを期間限定で許可することです。リースは、以下のいずれかの受取人に割り当てることができます。

  • Yourself - リースは、クラウドエンティティ上の選択されたサービスに、現在CloudGuardに接続されている同じ機器から特定の期間アクセスすることです。

  • Specific IP/CIDR - リースは、特定のIPアドレス(またはCIDR)がクラウドエンティティに特定の期間アクセスするためのものです。

  • An email recipient - リースは、メール受信者がCloudGuardユーザである必要はなく、受信者がメールを開く機器からクラウドエンティティにアクセスするためのものです。

リースとは、特定の期間にワンタイムアクセスのことです。期限切れのリースは延長できませんが、新しい招待状を送信することで更新できます。また、現在のリースを終了することもできます。Terminate Access オプションのオプションは、Active Access Leases リストの各リースに表示されます。

動作

  • CloudGuard によって完全に保護されるようにAWS アカウントとセキュリティグループを設定する

  • CloudGuard 管理者ユーザは、有効化されると、特定のセキュリティグループを介した AWS クラウドリソース (EC2 など) へのアクセスを制限された期間提供するリースを作成します。

  • 受信者はリンクをクリックしてリースを有効化します。クラウドリソースへのアクセスは、リンクが有効化された同じホスト(IP) と、リースで指定された特定のサービスまたはポートからのものです。

  • 受領者は、リースを有効化するためのリンクが記載された電子メールを受け取ります。リースを有効にすると、ダイナミックアクセス用に選択されたインバウンドポートまたは連続ポート範囲ごとに、一時的なセキュリティグループインバウンドアクセスルールが作成されます。

  • 期間の終了時に、クラウドエンティティへのアクセスがブロックされる

セキュリティグループサービスにアクセスするためのアクセスリースの設定と管理は、ここでは主な機能です。管理者ユーザは、自身のリースを取得し、他のユーザに割り当てることができます。

- アクセスは、セキュリティグループにアタッチされている特定のサービス用です。そのサービスへのアクセス権を取得すると、ユーザは選択したセキュリティグループ内のすべてのサーバと対話できます。

前提条件

AWS アカウントは CloudGuard で完全に保護されている必要があります (AWS 環境のオンボード を参照)。

IAM Safety によって管理される AWS アカウントのセキュリティグループは、CloudGuard によって管理され、すべてのユーザに開かれないように設定されている必要があります。

リースが確立されるセキュリティグループは、not ですでにリースが有効化されたときにAWS によって許可されるインバウンドアクセスルールの最大数を持っている必要があります。デフォルトのAWS "soft limit"の対象となるCloudGuardのお客様は、セキュリティグループごとに50個の受信アクセスルールを使用することで、49個以下の受信アクセスルールを含む適切に設定された任意のセキュリティグループで、単一のプロトコル/ポートまたは連続ポート範囲の単一のダイナミックアクセスリースを有効にすることができます。

アクセスグループ

アクセスグループを定義して、1 つのリースで多数のサービスまたはポートへのアクセスを許可できます。これは、アクティビティがサービスまたはポートのグループで同時に実行される場合に便利です。この場合、アクセスリースは、特定のサービスまたはポートではなくアクセスグループを指定します。

リースの作成方法

管理者ユーザは、次のアプリケーションからアクセスリースを作成できます。

  • CloudGuardポータル(管理者ユーザ)

  • CloudGuardの携帯アプリ

  • CloudGuardのクロムアドオン

動的アクセス用Google Chrome アドオン

CloudGuard Chrome 拡張機能を使用すると、CloudGuard ユーザは、Chrome ブラウザからオンデマンドでダイナミックアクセスリースを作成できます。ただし、CloudGuard コンソールにサインインする必要はありません。

お客さま価値

  • クラウドサービスへのアクセスは、通常、BLOCKEDであり、必要に応じて、次いで特定の個人に限られた期間だけ開かれる

  • 単一リースによる複数のクラウドサービス/リソースへのアクセス

  • クラウドリソースへのすべてのアクセスと変更の完全な監査証跡(監査証跡を参照)

  • 管理者ユーザは、IAM Safety によって管理されるサービスを決定します。

ユースケース

  • ユーザは、たとえば問題をトラブルシューティングするために、クラウドVPC内のリソースにアクセスする必要があります。

  • IAM Safetyのセキュリティグループを設定する

アクション

アクセスリースの設定は、リースの割り当てから始まります。Get Access オプションを使用して、すべてDynamic Access ページから開始します。リースを割り当てるには:

Network Security メニューのAccess Leases ページに移動し、Get Access タブを選択します。このタブには、AWSクラウドVPCの一覧と、CloudGuardによって完全に保護されているサービスグループ、および制御するサービスのそれぞれが表示されます。これらのサービスにアクセスするには、アクセスリースを使用します。左側のフィルタおよび検索ペインを使用して、リストをフィルタリングするか、特定のアセットまたはサービスを検索します。

アクセスするサービスの横にあるGET ACCESS をクリックして、自分がサービスにアクセスするためのリースを作成します。デフォルトのリース期間は、設定で設定されています(Configuration > Access Leases)。

リースを別の期間開くには、をクリックします。 アクセス期間(1、5、または10 時間)を選択します。

リースを開くと、リースを開いたデバイスと同じデバイスから選択したサービス(SSH など) を使用して、クラウドアセットにアクセスできます。

管理者は、Get Access/Send Invitation オプションを使用して、外部(CloudGuard以外) ユーザに招待を送信できます。CloudGuardアカウントを持っていない請負業者や応援要員などを招待する場合に便利です。次に、指定されたユーザに、リース有効化リンクを含む電子メールによる保留中の招待が通知されます。リンクを選択するとリースが開始されます。

Note: アクセス招待は、受け入れられて有効化されるまでpending とマークされ、有効化される前に終了することができます。

Dynamic Access ページに移動します。

クリック リースを開くサービスの横にあるSend Invitation を選択します。

招待のリース期間と配信方法を選択します。リースを有効化するためのリンクを使用して、受信者にCloudGuard 経由でメールを送信することも、リンクをコピーして自分で送信することもできます(プライベートメールやメッセージングなど)。

受信者は、リースを有効化するためのリンクを含む電子メール(またはメッセージ)を受信します。リンクに従うと、リースが有効になります。ユーザは、リースが有効化されたデバイス(つまり、リンクがフォローされたデバイス)からリース期間中、選択したサービスでクラウドアセットにアクセスできます。リース期間の終了時に、アクセスは終了します。

  1. Dynamic Access ページに移動し、Active Leases タブを選択します。アクティブなリース、およびまだアクティブ化されていないリースのリストが表示されます。

  2. アクティブなリースをただちに終了するには、TERMINATE LEASE をクリックします。

アクセスグループはサービスのグループです。これらは、異なるサービスグループや、異なるVPC の場合に使用できます。リースを作成するときにアクセスグループを選択し、1 つのリースでグループ内のすべてのサービスへのアクセスを開くことができます。

  1. Dynamic Access ページに移動します。

  2. グループ化するサービスの横にあるチェックボックスを選択し、SAVE AS ACCESS GROUP をクリックします。

  3. グループの名前を入力し、SAVE をクリックします。グループをパブリック(他のCloudGuardユーザがアクセス可能)またはプライベート(ユーザのみアクセス可能)にすることを選択できます。アクセスグループが定義されると、新しいタブAccess Groups がDynamic Access メインページに表示されます。このタブには、アクセスグループのリストが表示されます。

アクセスグループでは、個々のサービスのリースを作成する方法と同様に、サービスのアクセスリースを作成できます。これらのリースは、お客様のみに割り当てることができます。

  1. Dynamic Access ページに移動し、Access Groups タブを選択します(このタブはアクセスグループが定義されている場合にのみ表示されます)。タブには、すべてのアクセスグループのリストが表示されます。

  2. 左側のグループのリストから、リースで使用するアクセスグループを選択します。グループ内のサービスが右側に表示されます。

  3. GET ACCESS FOR ALL n SERVICES をクリックして、サービスのグループのリースを作成します。または、をクリック 別のリース期間を選択します。

アクセスグループの構成を変更できます。これは、グループを使用した新しいリースに影響します。

  1. Dynamic Access ページに移動し、Access Groups タブを選択します。

  2. 変更するグループの横にある編集アイコンをクリックします。Get Access タブが開き、サービスのリストが表示されます。グループ内のサービスが選択されます。リストからアクセスグループを選択またはクリアし、グループの構成を変更してから、UPDATE GROUP をクリックします。

次の手順に従って、Chrome ブラウザのCloudGuard 拡張モジュールをインストールします。

  1. Chrome Webストアにアクセスし、CloudGuard拡張子を検索するか、 CloudGuard Chrome Extension に直接アクセスします。

  2. 拡張モジュールの詳細ページで、Add to Chrome をクリックし、ダイアログのAdd extension をクリックします。

  3. CloudGuardマーク()がブラウザのメニューバーに表示されます。アイコンをクリックして拡張子を開きます。

CloudGuard Chrome 拡張モジュールを使用して、自分へのリースを作成します。リースにはアクセスグループのみを含めることができます。

  1. CloudGuardを押す() Chrome ブラウザのメニューバーで。

  2. リースのアクセスグループを選択します。リースが作成されます(デフォルトの期間)。確認のメッセージが表示されます。

CloudGuard モバイルアプリを使用して、自分用のリースを作成できます。アプリをインストールし、最初にCloudGuard アカウントとペアリングする必要があります(CloudGuardモバイルアプリケーション を参照)。

  1. CloudGuardアプリを開き、メインメニューからDynamic Accessを選択します。

  2. リースを作成するアクセスグループをタップします。