CloudGuard Privacy Policy

CloudGuard はクラウドセキュリティポスチャー管理ポータルで、環境のクラウドセキュリティポスチャを管理し、主要なセキュリティ標準への準拠を評価することができます。

このため、CloudGuard では、お使いの環境およびその中のさまざまなサービスに関する情報にアクセスする必要があります。

この記事では、情報のプライバシーを確保するためにCloudGuardが使用するプライベートポリシーについて説明します。

顧客情報の使用

CloudGuard にクラウドアカウント(AWS、Azure、およびGCP) をオンボードする場合、ログファイル(VPC、CloudTrail) を含む、これらのアカウントのエンティティおよびリソースのメタデータにアクセスするアクセス権限をCloudGuard に付与します。この情報には、パブリッククラウドプロバイダAPI を使用してアクセスします(適切なIAM アクセス権限を使用)。

また、CloudGuardのお客様は個人情報(氏名、住所など)を提供しています。

CloudGuard のお客様は、オンボーディングプロセスの一環として (CloudGuard アカウントに割り当てられた IAM/AD ポリシーおよびロールを介して) CloudGuard に付与されるアクセス許可と、CloudGuard と共有されるアクセス許可を完全に制御できます。

CloudGuard does not access or collect クラウドインスタンス、S3 バケット、EBS ボリューム、RDS、コンピューティングインスタンス、ストレージなどに保存されている任意の種類のカスタマーデータ。CloudGuardは、セキュリティポスチャーを評価するために、これらのリソースに必要なメタデータのみを収集します。CloudGuardではパスワードやSSL証明書などの機密情報は保持されません。

CloudGuard は、以下のカスタマメタデータを使用します。

  • アセットをCloudGuard Webアプリに表示します。自分の環境(CloudGuard にオンボードされている) のデータ、またはクロスアカウントの信頼関係があるアカウントのみを表示できます。

  • クラウドアカウントのコンプライアンス評価(情報はルールセットとポリシーによってのみアクセスされます。ルールセットとポリシーによってのみアクセスされ、環境のみが評価され、他のユーザは評価されません)。

  • 脅威分析(Intelligence)に

情報収集

顧客環境メタデータは、クラウドプロバイダのアクセス権限モデル(エンティティ情報の読み取り専用)に基づいて、クラウドプロバイダAPI を使用して収集されます。

この情報は、CloudGuardで定期的に更新されます(数分ごと~1 時間ごと、可変、エンティティごと)。

CloudGuard では、カスタマー環境メタデータの書き込みやアップデートは行われません(アカウントがフルプロテクションモードであり、環境内のCloudGuardに必要なアクセス許可を明示的に有効にして追加した場合にのみ使用される場合は、セキュリティグループおよび同様のエンティティを除きます)。

顧客情報の保存

CloudGuard は、カスタマークラウドエンティティのメタデータを CloudGuard 環境の AWS S3 バケットに保存します。

データ/情報分類

CloudGuardには、いくつかの階層があります。

  • Restricted Data - この種のデータの漏洩は有害であると考えられる

    • カスタマー API キー [CloudGuardがクロスアカウント ロール AWS インテグレーションに移動されるため、AWS に API キーは必要ありません]

    • ExternalId (クロスアカウントロールのAWS 統合で2 番目のプロテクションメカニズムとして使用されます)

    • ユーザパスワード(パスワードのハッシュのみを保持)

    • ユーザ CloudGuard APIキー

  • Private customer metadata - このカテゴリーからのデータの漏洩は、内部情報を明らかにすることができるが、重要な秘密ではない

    通常、このデータはクラウドプロバイダから取得され、サーバ情報、IP アドレス、FW ルールなどの環境のメタデータが含まれます。

データ& 顧客セグメンテーション

CloudGuardデザインは、マルチテナントで使用するためのものです。完全なデータ分離は、DB を含むすべてのシステムレイヤで実装されます。

カスタムORM/DAL は、テナント間の強力な分離を強制するために実装されます。ID のみでフェッチされるデータ要素はありません。代わりに、<accountId, ItemId> タプルが使用されます。ここで、アカウントID は認証システムによって提供され、ユーザはインジェクトできません。

データ可用性/データフロー

  • ライブプロダクションデータは、必要に応じて関連するアプリケーションサーバでのみ使用できます。

    この詳細なセキュリティは、以下によって強制されます。

    • 厳格なファイアウォール設定

    • ネットワークポリシー

    • 異なるサーバに対する特定のアクセス権限を持つDB 認証。

  • 実稼働データは、非実稼働環境に複製されません。

  • バックオフィスシステム:サポートおよびトラブルシューティングを支援するために、一部のメタデータ(ポリシー、サーバ情報など)をサポート/バックオフィスシステムで表示できます。

    • システムでは、制限された情報にアクセスすることはできません。

    • アクセスは、CloudGuard従業員ごとに固有の認証情報を使用して把握する必要があります。

    • システムおよびデータアクセスはログおよび監視されます。

    • アクセスは、2つの要因(ユーザクレデンシャル+MFA/ユーザクレデンシャル+CloudGuardアクセスリース)によって保護されます。

  • オフラインDBバックアップデータ:

    • バックアップは EBS スナップショットの形式です。

    • スナップショットの読み取り権限は、指定された少数の従業員のみが使用できます。

    • スナップショットから作成されたボリュームの常時監視。


カスタマーメタデータアクセス

CloudGuard によって保存されたカスタマメタデータは、CloudGuard REST API を使用してプログラムでアクセスされます。これには、CloudGuard Web アプリケーションでユーザ用に生成された一意のAPI キーを使用した認証が必要です。ユーザは、アカウントとそのエンティティに関する情報、およびコンプライアンスバンドル、評価、実績、トレンドに関する情報を取得できます。

他のアカウント(サマリ情報やトレンド情報など)に関する情報は取得できません。

情報の保存と削除

お客様のクラウドアカウントに関するメタデータ情報と、この情報に基づく評価結果は、CloudGuardで無期限に保持されます。

CloudGuard では、すべてのメタデータ情報の完全な削除をリクエストできます。お客様は、CloudGuardがクラウドメタデータにアクセスするために使用するIAMポリシーを変更または取り消すことができます。