Kraken Hunter の村上です。
昨年の「Sysdigブログリレー」の一記事にて、Sysdig を活用することで CIS Amazon Web Services Foundations Benchmark のモニタリング要件への準拠がしやすくなることをご紹介しました。
CIS Benchmarks とは何か、についても同記事にて紹介しています。
Google Cloud についても、せっかく Sysdig を導入している環境なので活用して楽に対応したい!
ということで、Google Cloud 編、Sysdig で CIS Benchmark の Logging and Monitoring 要件に準拠できそうかどうか、調査した結果をまとめてみます。
簡略化のため、以下では「CIS Benchmark」はすべて、「CIS Google Cloud Platform Foundation Benchmark」を指すものとします。
CIS Benchmark の Logging and Monitoring のベストプラクティスに含まれるもの
CIS Benchmark v2.0.0 および v3.0.0 の 2. Logging and Monitoring には、以下の項目が含まれています。
| 項目 | 参考訳 |
|---|---|
| 2.1 Ensure That Cloud Audit Logging Is Configured Properly | Cloud Audit Logging が適切に構成されていること |
| 2.2 Ensure That Sinks Are Configured for All Log Entries | すべてのログエントリに対してシンクが構成されていること |
| 2.3 Ensure That Retention Policies on Cloud Storage Buckets Used for Exporting Logs Are Configured Using Bucket Lock | ログのエクスポートに使用される Cloud Storage バケット保持ポリシーが Bucket Lock を使用して構成されていること |
| 2.4 Ensure Log Metric Filter and Alerts Exist for Project Ownership Assignments/Changes | プロジェクト所有者の割り当て/変更に関するログメトリックフィルタとアラートが存在すること |
| 2.5 Ensure That the Log Metric Filter and Alerts Exist for Audit Configuration Changes | 監査の設定の変更に関するログメトリックフィルタとアラートが存在すること |
| 2.6 Ensure That the Log Metric Filter and Alerts Exist for Custom Role Changes | カスタムロールの変更に関するログメトリックフィルタとアラートが存在すること |
| 2.7 Ensure That the Log Metric Filter and Alerts Exist for VPC Network Firewall Rule Changes | VPC ネットワークファイアウォールルールの変更に関するログメトリックフィルタとアラートが存在すること |
| 2.8 Ensure That the Log Metric Filter and Alerts Exist for VPC Network Route Changes | VPC ネットワークルートの変更に関するログメトリックフィルタとアラートが存在すること |
| 2.9 Ensure That the Log Metric Filter and Alerts Exist for VPC Network Changes | VPC ネットワークの変更に関するログメトリックフィルタとアラートが存在すること |
| 2.10 Ensure That the Log Metric Filter and Alerts Exist for Cloud Storage IAM Permission Changes | Cloud Storage IAM 権限の変更に関するログメトリックフィルタとアラートが存在すること |
| 2.11 Ensure That the Log Metric Filter and Alerts Exist for SQL Instance Configuration Changes | SQL インスタンス構成の変更に関するログメトリックフィルタとアラートが存在すること |
| 2.12 Ensure That Cloud DNS Logging Is Enabled for All VPC Networks | すべての VPC ネットワークで Cloud DNS ロギングが有効になっていること |
| 2.13 Ensure Cloud Asset Inventory Is Enabled | Cloud Asset Inventory が有効になっていること |
| 2.14 Ensure ‘Access Transparency’ is ‘Enabled’ | Access Transparency が有効になっていること |
| 2.15 Ensure ‘Access Approval’ is ‘Enabled’ | Access Approval が有効になっていること |
| 2.16 Ensure Logging is enabled for HTTP(S) Load Balancer | HTTP(S) ロードバランサーのロギングが有効になっていること |
準拠状況のチェックや対処方法は、Security Command Center (以下、SCC) や Sysdig Secure の Compliance 機能で実施可能です。また、それぞれ対応方法も書かれています。
2.1〜2.3、2.12〜2.16 は、ログや設定を有効にすれば準拠可能です。
問題は 2.4〜2.11 です。
SCC と Sysdig で 2.4〜2.11 の対応方法を見てみると、Google Cloud Observability でログベースのメトリクスやアラートを設定するためのコマンドが書かれています。
CIS Benchmarks のサイトからダウンロード可能な CIS Benchmark の記載に基づいているようです。
CLI コマンドまで用意してくれているので、そのまま設定しても良いところですが、必ず Google Cloud Observability で設定するよう推奨されているわけではありません。
Google Cloud 側でログベースのアラートを設定する代わりに、Sysdig の Audit Log ベースの脅威検知ポリシーで検知できないものでしょうか?
Sysdig で CIS Benchmark のモニタリング要件をどこまでカバーできるのか
Sysdig の Audit Log ベースの検知ポリシーについて、Sysdig UI 上でルールをチェックしてまとめました。
結論、Sysdig の CDR (Cloud Detection and Response) を活用すれば、Google Cloud 側でアラート設定をしなくてもよさそうです!
| Control | Sysdig でカバーできるか | CloudTrail ベースで検知するSysdig ルールで対応しそうなもの 記載形式は [Policy名 (Severity)] Control 名 |
|---|---|---|
| 2.4 Ensure Log Metric Filter and Alerts Exist for Project Ownership Assignments/Changes | ◯ | 対応ルールあり [Sysdig GCP Notable Events (Medium)] GCP Change Owner |
| 2.5 Ensure That the Log Metric Filter and Alerts Exist for Audit Configuration Changes | ◯ | 対応ルールあり [Sysdig GCP Notable Events (Medium)] GCP Modify Audit Policy |
| 2.6 Ensure That the Log Metric Filter and Alerts Exist for Custom Role Changes | ◯ | 対応ルールあり [Sysdig GCP Notable Events (Medium)] GCP Create Role [Sysdig GCP Notable Events (Medium)] GCP Update Role [Sysdig GCP Notable Events (Medium)] GCP Delete Role |
| 2.7 Ensure That the Log Metric Filter and Alerts Exist for VPC Network Firewall Rule Changes | ◯ | 対応ルールあり [Sysdig GCP Notable Events (Medium)] GCP Compute Firewall Rule Deleted [Sysdig GCP Activity Logs (Info)] GCP Compute Firewall Rule Created [Sysdig GCP Activity Logs (Info)] GCP Compute Firewall Rule Updated |
| 2.8 Ensure That the Log Metric Filter and Alerts Exist for VPC Network Route Changes | ◯ | 対応ルールあり [Sysdig GCP Notable Events (Medium)] GCP Create Route [Sysdig GCP Notable Events (Medium)] GCP Delete Route |
| 2.9 Ensure That the Log Metric Filter and Alerts Exist for VPC Network Changes | ◯ | 対応ルールあり [Sysdig GCP Notable Events (Medium)] GCP Create VPC Network [Sysdig GCP Notable Events (Medium)] GCP Delete VPC Network [Sysdig GCP Notable Events (Medium)] GCP VPC Add Peering [Sysdig GCP Activity Logs (Info)] GCP Modified VPC Network [Sysdig GCP Activity Logs (Info)] GCP VPC Remove Peering |
| 2.10 Ensure That the Log Metric Filter and Alerts Exist for Cloud Storage IAM Permission Changes | ◯ | 対応ルールあり [Sysdig GCP Activity Logs (Info)] GCP Set Bucket IAM Policy |
| 2.11 Ensure That the Log Metric Filter and Alerts Exist for SQL Instance Configuration Changes | ◯ | 対応ルールあり [Sysdig GCP Activity Logs (Info)] GCP Update CloudSQL |
2.10 など、一部は Info レベルの脅威検知ポリシーで検知可能となっていますが、Info レベルまで通知してしまうと通知が大量になる恐れがあります。
Custom Policy を使うなどして、特定の検知ルールのみ検知対象とする対応が考えられます。
以下に、各項目がどういったものか簡単に記載しておきます。
2.4 Ensure Log Metric Filter and Alerts Exist for Project Ownership Assignments/Changes
リソースの誤操作などを防ぎ最小権限とするため、Google Cloud project において最も強い特権を持つ Owner role について、権限付与や削除をモニタリングすることが推奨されています。
2.5 Ensure That the Log Metric Filter and Alerts Exist for Audit Configuration Changes
(2.1で構成したような) 監査ログが無効にされないように、設定変更をモニタリングすることが推奨されています。
2.6 Ensure That the Log Metric Filter and Alerts Exist for Custom Role Changes
カスタムロールの作成・更新・削除をモニタリングし、過剰な権限を早期に検知することが推奨されています。
2.7 Ensure That the Log Metric Filter and Alerts Exist for VPC Network Firewall Rule Changes
VPC ファイアウォールルールの変更をモニタリングし、不審なアクティビティ検知への時間を短縮することが推奨されています。
2.8 Ensure That the Log Metric Filter and Alerts Exist for VPC Network Route Changes
ネットワークトラフィックが想定どおりの経路を通るように、NW ルート変更をモニタリングすることが推奨されています。
2.9 Ensure That the Log Metric Filter and Alerts Exist for VPC Network Changes
ネットワークトラフィックが影響を受けないように、VPC設定変更やピアリング設定変更をモニタリングすることが推奨されています。
2.10 Ensure That the Log Metric Filter and Alerts Exist for Cloud Storage IAM Permission Changes
機微情報を含むバケットへのアクセス権限変更をモニタリングすることが推奨されています。
2.11 Ensure That the Log Metric Filter and Alerts Exist for SQL Instance Configuration Changes
設定不備の早期検知と修正のため、Cloud SQL インスタンスの構成変更をモニタリングすることが推奨されています。
おわりに
Google Cloud においても、AWS 同様に Sysdig を活用することで、ログベースのメトリクスを作成してアラーム設定をしなくても、CIS Benchmark のクラウドモニタリング要件に大半準拠できそうなことが分かりました。
クラウドのセキュリティ対策の効率化の助けになれば幸いです!
簡単30秒