JumpCloudが今日(米国時間9/9)のTechCrunch Disrupt San Franciscoで、クラウドサーバ、中でもとくにAmazon Web Services(AWS)の深刻な脆弱性から身を守るための新しい方法をローンチした。
これまで非公開ベータだったこのサービスは、マシンデータを分析する新しい方法によって、ユーザのクラウド展開に関する通知やアラートを生成する。
AWSのサーバの、セキュリティの脆弱性は主に、旧来からのプロセスモデルに由来する。それは、今のソーシャルネットワークが使っているような、ユーザ名とパスワードを用いるモデルだ。したがって攻撃が日常的に頻繁に起こり、ときには壊滅的な結果をもたらす。
JumpCloudのサービスは、ユーザ管理にパフォーマンスチェックとアラートを組み合わせる。このサービスの管理プラットホームを介してユーザを保護し、そこにアドミニストレータのクラウドサーバキーを保存する。このプラットホームがパスワードの処理を抽象化し、顧客のサーバ上で小さなソフトウェアを動かすことによって攻撃を防御する。このようにしてユーザのサーバ上でエージェントを動かす方式は、New Relicがアプリケーションのパフォーマンス管理に使っている方法とほぼ同じだ。エージェントはサーバのデータを記録し、ネットワークの負荷に不審なスパイクが生じた、などの異変を監視する。
JumpCloudのCEO David Campbellは曰く、“New Relicがパフォーマンスのモニタリングのためにやっていることを、うちはセキュリティのためにやっている”。
このサービスは、ログ監視サービスLoggly(日本語)にも似ている。Logglyは、サーバやルータなどのマシンからログデータ~監視データを集めて分析し、アドミニストレータにインフラの現在の稼働状況を見せる。JumpCloudはただデータを集めるだけでなく、それらに対して付加価値的な分析を行い、ノイズの中に有意な信号(往々にして危険信号)を見つける。たとえばサーバの負荷が一時的に急増したら、JumpCloudはそのことを信号として検出する。
“クラウドのデータをすべて分析して、ユーザが対応すべきアラームだけを提供する”、とステージ上のCampbellは言った。
ユーザはJumpCloudをPuppet(日本語)やChefと組み合わせて使用し、自分のサーバをJumpCloudのデータセキュリティネットワークに自動的に加えることができる。つまり、会社がローンチするすべてのイメージが、最初からセキュリティを組み込み済みになる。
AWSは世界でもっとも多く使われているクラウドサービスだから、 JumpCloudにとっても大きな市場になる。でも、同社にとっての問題は、NSAのスパイ事件があって冷水を浴びせられたにもかかわらず、クラウドは伝統的にセキュリティに甘いプロバイダやユーザが多い世界だ。
たとえば、アドミニストレータによるパスワードの管理もルーズだ。AWSでは、公開鍵をAWSが持ち、秘密鍵をユーザ企業が持つ方式だが、Campbellによると、10社中9社が、秘密鍵(パスワード)を一度も変えたことがないし、システムにそのまま載っていることもある。もちろん、攻撃者にとっては、すごく見つけやすい。
問題の深刻さを調べるためにCampbellのチームは、ソーシャルネットワークから得た情報を利用してクライアントサイドのの攻撃を試みた。アドミンにおいしそうなリンクを提供して、それをクリックしたらCampbellらが仕掛けたサイトへ行く。Campbellらはそこで得た犠牲者の認証情報をもとに、顧客のサイトにアクセスして秘密鍵を盗むことができた。この攻撃の成功率は100%ではなかったものの、クラウドユーザにおけるセキュリティのルーズさが、相当なものであることが分かった。
アドミンたちは、内部的な問題を解決するためにオープンソースのツールを利用することが多い。CampbellによるとDevOpsのプロたちは、そういうその場しのぎのやり方ではなく、自分たちの仕事とユーザ体験を阻害しないような、より総合的/自動的な問題解決を望んでいる。
そこでJumpCloudのやり方は、DevOpsたちのアンチセキュリティな文化をそのまま容認している。つまりそれは、彼らがセキュリティに対してそれほど意識的にならなくても、問題を自動的に見つけてくれる方式だ。だからデベロッパたちは以前と変わらず、彼らが伝統的に重んじる文化、すなわちデータの自由な流れと、開発工程のスピードを、重視し享受できるのだ。
同社のサービスはフリーミアムなので、ベーシックなユーザ管理とパフォーマンスの監視、およびセキュリティのアラートのセットは無料だ。リアルタイムのアラートや、自動修復、問題の原因解析などを含むと、有料になる。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))