BoundaryとVaultが、侵入・被害も防ぐ
攻撃者はフィッシングなどでID、パスワードを盗み出し、それを用いてシステムに侵入する。システムで固定的にID、パスワードを運用していれば、盗んだID、パスワードで簡単に侵入でき、より高い権限を奪われることにもなりかねない。HashiCorpは、今回新たに「HCP Boundary」の一般提供を発表した。これはSSHでログインする、あるいはサーバーに入って作業するなど、人からマシンへのアクセスを制御をするものである。
Vaultを使えば、前述した通り動的にID・パスワードを払い出し、その利用は一時的に限定したり、最低限の権限でIDを払い出すことが可能になる。さらにBoundaryを組み合わせることで、リモートアクセスのためのプロキシ機能だけでなく、これらのID払い出しが自動で行われアクセスできるといった業務フローを実現することができる。
リモートで業務にあたるエンジニアに対し、たとえばデータベースの保守作業に必要となる限定した期間、権限だけでアクセスを許可でき、その払い出しを自動化できるのだ。
「仮に侵入を許してもそれ以上の特権ユーザーにはなれず、重要な情報の漏洩などの被害を抑えられます」と小原氏。このようなゼロトラストのモデルによる動的なIDやパスワード、権限の払い出しで、漏洩しない、侵入されても被害を発生させないという。
たとえば100人規模の開発環境にリモートアクセスさせるとして、1人ひとりに仮想マシンを用意し、そこに開発ツールなどをセットアップして利用するとしよう。この環境では、100台分の仮想マシン環境を常にセキュアに保ち続ける必要があるため工数がかかり、その対応が漏れたり遅れたりすることはセキュリティリスクが存在することになる。
だがVaultとBoundaryがあれば、エンジニアそれぞれの端末からアクセスする際にも状況に応じ動的に必要なID、パスワードを払い出し、最低限の権限でアクセスさせることが可能だ。特別な踏み台環境を用意しなくて良いため、効率的で安全なリモートアクセス環境が実現できる。
