ゼットスケーラーのTheatLabzは12月11日に、Log4jのエクスプロイトの試行を実際に確認し、この脆弱性を分析して、推奨される保護戦略を提示しました。こちらとこちらのブログを参照してください。この脆弱性の影響を軽減するために推奨される方法の1つが、アイデンティティを使用したアプリ間のマイクロセグメンテーションの適用です。この記事では、初期段階の侵害を防止し、侵害されたワークロードからの脅威の水平移動を阻止する手段として、アイデンティティベースのセグメンテーションが従来のファイアウォールベースのセグメンテーションより優れている理由を説明しています。
従来のアドレスベースのセグメンテーションは、L3/L4ベースのホストファイアウォールのルールを使用して、通信するものをコントロールしますが、このアプローチでは、IPアドレスから通信しているソフトウェアを判断できないため、有効ではありません。プロトコル情報を監視するL7ファイアウォールであっても、通信ソフトウェアのアイデンティティを確実に判断することはできません。例えば、Log4jサーバが侵害されて不正コードがリモートで実行された場合、不正コードは、承認されたファイアウォールポリシーに乗っ取り、環境を水平移動できるようになります。以下の攻撃シナリオでは、第2段階で最終ペイロードが送り込まれた後に、侵害されたLog4jサーバにより、脅威の水平移動が可能になります。
画像:Fastly
アイデンティティベースのセグメンテーションのソリューションは、エクスプロイトの活性化を防止または抑制するのに役立ちます。最初に、アイデンティティベースセグメンテーションとは、どのように動作するのでしょうか。ゼットスケーラーのブログ記事「アイデンティティベースのマイクロセグメンテーションはクラウドセキュリティの基盤である:スプーフィング対策」で解説されています。該当する部分を以下に抜粋します。
「アイデンティティベースのマイクロセグメンテーションを可能にするため、デバイスやソフトウェアの資産ごとに、バイナリのSHA-256ハッシュやBIOSのUUIDなどの資産そのものの数十のプロパティに基づく不変で一意のアイデンティティが割り当てられます。サブプロセスレベルもアイデンティティの対象になるため、個々のJava JARやPythonスクリプトも一意に識別でき、アイデンティティの作成と管理は完全に自動化されているため、簡単に運用できます。
ゼットスケーラーは、通信ソフトウェアのアイデンティティをリアルタイムで検証します。このゼロトラストのアプローチにより、承認されていない不正ソフトウェアの通信を防止できます。承認されたファイアウォールルールを使用したピギーバック攻撃は過去のものになります。アイデンティティこそが、従来のネットワークセキュリティ管理よりシンプルな運用を実現し、強力な保護を提供する秘策です。」
上記の画像のエクスプロイトの例では、アイデンティティベースのセグメンテーションと最小権限の適用が採用されていたならば、複数の防御レイヤによって攻撃リスクを低減することができました。
すなわち、ゼットスケーラーのアイデンティティベースセグメンテーションは、ソフトウェアのアイデンティティを検証し、既知の無害のアプリケーションだけに最小特権アクセスを適用し、承認されたパスでの通信を許可します。アイデンティティを使用するセグメンテーションは、アプリケーションやネットワークを変更することなく、広範な脅威からの保護を可能にする、極めて有効な手段です。このアプローチにより、ゼロトラストセキュリティをクラウドやデータセンタ環境のワークロードに容易に拡張できます。ゼットスケーラーの他のソリューションとの連携により、ゼロトラストアーキテクチャを使用して、リスクと将来の脆弱性の影響を最小限にすることができます。
次のアクション:
ワークロードセグメンテーションのカスタムデモを依頼して、今すぐ移行を開始してください。
無料のインターネット攻撃対象領域分析で、Apacheの使用に伴う外部からの攻撃対象領域をチェックできます。
12月15日(水)開催のウェビナーでは、今回のApacheの脆弱性の詳細をエキスパートが解説します。