資格分析

資格分析機能は、クラウドインフラストラクチャに対するリスクを検出できるように設計されています。資格分析ジョブの完了後、リスクにさらされているリソースのリストが分析概要に示されます。この概要では、組織にとってリスクとなるリソースが強調され、リスクを緩和するための適切な対応をとれるようになります。

概要

Okta Privileged Accessの資格分析機能は、ジョブの概念に基づいています。ジョブには、Amazon Web Services(AWS)などのサービスとしてのインフラストラクチャ(IaaS)アプリケーションにOkta Privileged Accessが接続するために必要な情報が含まれています。また、ジョブにはリソースの検出に必要な入力も含まれます。

ジョブ作成の重要側面の1つは、Analysis configuration(分析の構成)です。これには、資格を評価する方法を指示し、ジョブ内のリソースがリスクにさらされているかどうかを判断するルールが含まれます。

現時点で、この機能はAWSのみをサポートします。Okta Privileged Accessは、新たなリスクや脅威の信号に対応するために、その他の分析ルールも徐々にサポートするようになります。

分析ルール

ルールの簡略名 説明

お客様がルール違反を解決するためのアクション

Excessive User Access(過度なユーザーアクセス)

現在のIAMポリシーおよび権限セットが、Oktaがプロビジョニングする多数のAWSユーザーにリソースへのアクセス権を提供していることを示します。このルールは、AWS組織にプロビジョニングされたユーザーの総数に占める、リソースへのアクセス権を付与されたユーザーの割合を計算します。リソースへのアクセス権を付与されたユーザーの割合が、ルールに構成されたしきい値を超過すると、そのリソースにはAt risk(リスクあり)のマークが付けられます。

  • データベースへのアクセス権を付与する権限セットが割り当てられているOktaグループからユーザーを削除します。代わりに、ユーザーがリソースにアクセスする必要がある場合にのみユーザーをグループに追加(またはグループから削除)できるようにするアクセスリクエストワークフローを実装します。

  • シングルサインオン(SSO)向けの権限セットと、それに付随するIAMポリシーを作成します。このセットは、過度のアクセス権を付与しており、少数のユーザーで構成されるグループか、メンバーシップがアクセスワークフローによって制御されるグループにリンクされているデータベースをターゲットにする必要があります。

サポートされる資格

Okta Privileged Accessは、次のAWS IAM権限の検出と分析に対応しています。

IaaSリソースタイプ 権限

説明

リレーショナルデータベースサービス(RDS)

rds-db:connect

rds-db: serviceは、RDSデータベースインスタンスの認証に使用されるAWS IAM認証を有効にします。権限を付与されたエンドユーザーは、データベースクライアントを使ってデータベースに直接接続し、RDS IAM認証ロールにマッピングされるデータベースユーザーアカウントに許可される任意の操作を実行できます。

考慮事項

  • 現在、AWSの資格分析は、IAMポリシー内の条件を調べてリソースへのアクセス権が条件に応じて付与されたものかどうかを判断できません。OktaもAWSサービスコントロールポリシーを調べません。Okta Privileged Accessは、IAMポリシー内のプリンシパルを調べて個々のユーザー/グループとの一致を照合するのみです。
  • 現在、資格分析が連携できるのは、IAMポリシー内のアクションステートメントのみです。明示的に拒否されるAPIを除くあらゆるものに対するアクセス権を付与するNotActionのような広範なIAMポリシーは調べられません。NotActionDenyNotResourcesが含まれるポリシーステートメントは許可されません。
  • Okta Privileged Accessが処理できないIAMポリシーに遭遇すると、ジョブはエラーとなります。これは、Okta Privileged Accessによる偽陰性の報告を防止するための設計上の意図的な決定です。たとえば、実際にはサポートされないIAM ポリシーがリソースへのアクセス権を付与する可能性がある場合に、アクセス権が付与されないことを示すアクセスグラフをOkta Privileged Accessが示すシナリオを考えてみてください。

資格分析ジョブを作成する

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Entitlement Analysis(資格分析)]に移動します。
  2. [Create job(ジョブを作成)]をクリックします。
  3. 名前を入力します。
  4. 検出するリソースを構成します。
    設定アクション

    Cloud provider type(クラウドプロバイダータイプ)

    リソースを検出できるクラウドインフラストラクチャプロバイダー。現時点では、AWSのみがサポートされています。

    Cloud provider connection(クラウドプロバイダー接続)

    作成した接続のいずれかを選択します。視覚分析ジョブは、この接続を使用してクラウドインフラストラクチャプロバイダーにリンクします。

    Accounts(アカウント)

    1つ以上のアカウントを選択します。最大で10アカウントを選択できます。

    Resource type(リソースタイプ)

    IaaSプロバイダーアカウント内で検出されるリソースのタイプ。現時点では、RDSのみがサポートされています。

    Account resources(アカウントリソース)

    次のいずれかを選択します。

    • All resources(すべてのリソース)
    • Only resources with names that contain this value(この値が含まれる名前を持つリソースのみ)このオプションを選択した場合は、検出されたリソースの名前を含む値を入力します。このフィールドには1つの単語のみを入力できます。

  5. [Analysis configuration(分析の構成)] [Excessive User Access(過度なユーザーアクセス)]の下で、しきい値となる割合を設定します。

    しきい値となる割合は、IaaSアプリケーションへのアクセス権を持つ何人のユーザーがリソースにアクセスできるかを指定します。ユーザーの合計人数がこのしきい値を超過すると、分析ジョブによってリソースにAt Risk(リスクあり)のマークが付けられます。「分析ルール」を参照してください。

  6. [Create(作成)]をクリックします。

  7. 任意。[Actions(アクション)][Run job(ジョブを実行)]を選択します。ジョブを作成する際には、ジョブをすぐに実行するか、後で実行するかを選択できます。

資格分析ジョブを実行する

資格分析ジョブを作成したら、そのジョブを実行してAWSアカウントから情報を取得する必要があります。

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Entitlement Analysis(資格分析)]に移動します。

  2. 実行するジョブを特定してから、[Actions(アクション)][Run job(ジョブを実行)]を選択します。

ジョブが正常に実行されると、ステータスは完了に更新されます。分析概要を表示できるようになります。

資格分析概要のレビュー

資格分析概要には、侵害された場合に組織にリスクをもたらすリソースに対するすべての権限の概要が示されます。個々のリソースをクリックすると、データベースにアクセスするユーザーグループの詳細な内訳(権限やポリシーなど)がわかりやすい関係グラフで示されます。このグラフを利用することで、リスクの源を迅速に特定し、緩和のために必要な対応をとることができます。

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Entitlement Analysis(資格分析)]に移動します。

  2. [Actions(アクション)][View analysis summary(分析概要を表示)]を選択します。

  3. リソースをクリックすると、関係グラフが表示されます。

  4. ノードをクリックすると、AWSアカウントと関連付けることができるAWS関連の情報が表示されます。たとえば、ユーザーグループノードをクリックすると、グループのすべてのユーザーとグループのAWS IDが表示されます。

関連項目この値が含まれる名前を持つリソースのみ

AWSアカウントを接続する

資格分析のトラブルシューティング