資格分析

資格分析機能は、クラウドインフラストラクチャに対するリスクを検出できるように設計されています。資格分析ジョブの完了後、リスクにさらされているリソースのリストが分析概要に示されます。この概要では、組織にとってリスクとなるリソースが強調され、リスクを緩和するための適切な対応をとれるようになります。

Okta Privileged Accessの資格分析のしくみ

Okta Privileged Accessの資格分析機能は、ジョブの概念に基づいています。ジョブには、AWSなどのサービスとしてのインフラストラクチャ(IaaS)アプリケーションにOkta Privileged Accessが接続するために必要な情報が含まれています。また、ジョブにはリソースの検出に必要な入力も含まれます。

ジョブ作成の重要側面の1つは、分析の構成です。これには、資格を評価する方法と、リソースがリスクにさらされているかどうかを判断する方法をジョブに指示するために構成されるルールが含まれます。

Okta Privileged Accessは、新たなリスクや脅威の信号に対応するために、その他の分析ルールも徐々にサポートするようになります。

分析ルール

ルールの簡略名 説明

お客様がルール違反を解決するためのアクション

Excessive User Access(過度なユーザーアクセス)

現在のIAMポリシーおよび権限セットが、Oktaがプロビジョニングする多数のAWSユーザーにリソースへのアクセス権を提供していることを示します。このルールは、AWS組織にプロビジョニングされたユーザーの総数に占める、リソースへのアクセス権を付与されたユーザーの割合を計算します。リソースへのアクセス権を付与されたユーザーの割合が、ルールに構成されたしきい値を超過すると、そのリソースにはAt risk(リスクあり)のマークが付けられます。

  • データベースへのアクセス権を付与する権限セットが割り当てられるOktaグループからユーザーを削除し、リソースへのアクセスが特に必要な場合にのみユーザーをグループに追加(または削除)するアクセスリクエスト/承認ワークフローを実装します。

  • シングルサインオン(SSO)向けの権限セットと、それに付随するIAMポリシーを作成します。このセットは、アクセス権の対象となるデータベースをターゲットにする必要があります。

サポートされる資格

Okta Privileged Accessは、次のAWS IAM権限の検出と分析に対応しています。

IaaSリソースタイプ 権限

説明

リレーショナルデータベースサービス(RDS)

rds-db:connect

rds-db: serviceは、RDSデータベースインスタンスの認証に使用されるAWS IAM認証を有効にします。権限を付与されたエンドユーザーは、データベースクライアントを使ってデータベースに直接接続し、RDS IAM認証ロールにマッピングされるデータベースユーザーアカウントに許可される任意の操作を実行できます。

考慮事項

  • 現在、AWSの資格分析は、IAMポリシー内の条件を調べてリソースへのアクセス権が条件に応じて付与されたものかどうかを判断できません。OktaもAWSサービスコントロールポリシーを調べません。Okta Privileged Accessは、IAMポリシー内のプリンシパルを調べて個々のユーザー/グループとの一致を照合するのみです。
  • 現在、資格分析が連携できるのは、IAMポリシー内のアクションステートメントのみです。明示的に拒否されるAPIを除くあらゆるものに対するアクセス権を付与するNotActionのような広範なIAMポリシーは調べられません。NotActionDenyNotResourcesが含まれるポリシーステートメントは許可されません。
  • Okta Privileged Accessが処理できないIAMポリシーに遭遇すると、ジョブはエラーとなります。これは、Okta Privileged Accessによる偽陰性の報告を防止するための設計上の意図的な決定です。たとえば、実際にはサポートされないIAM ポリシーがリソースへのアクセス権を付与する可能性がある場合に、アクセス権が付与されないことを示すアクセスグラフをOkta Privileged Accessが示すシナリオを考えてみてください。

資格分析ジョブを作成する

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Entitlement Analysis(資格分析)]に移動します。
  2. [Create job(ジョブを作成)]をクリックします。
  3. 名前を入力します。
  4. 検出するリソースを構成します。
    設定アクション

    Cloud provider type(クラウドプロバイダータイプ)

    AWSはデフォルトで追加されます。

    Cloud provider connection(クラウドプロバイダー接続)

    クラウドプロバイダー接続を選択します。

    Accounts(アカウント)

    1つ以上のアカウントを選択します。最大で10アカウントを選択できます。

    Resource type(リソースタイプ)

    RDSはデフォルトで選択されます。

    Account resources(アカウントリソース)

    次のいずれかを選択します。

    • All resources(すべてのリソース)
    • Only resources with names that contain this value(この値が含まれる名前を持つリソースのみ)
  5. [Analysis configuration(分析の構成)] [Excessive User Access(過度なユーザーアクセス)]の下で、しきい値となる割合を設定します。

    しきい値となる割合は、IaaSアプリケーションへのアクセス権を持つ何人のユーザーがリソースにアクセスできるかを指定します。ユーザーの合計人数がこのしきい値を超過すると、分析ジョブによってリソースにAt Risk(リスクあり)のマークが付けられます。「分析ルール」を参照してください。

  6. [Create(作成)]をクリックします。

  7. [Actions(アクション)][Run job(ジョブを実行)]を選択します。ジョブは3~5分で完了します。

資格分析ジョブを実行する

資格分析ジョブを作成したら、そのジョブを実行してAWSアカウントから情報を取得する必要があります。

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Entitlement Analysis(資格分析)]に移動します。

  2. [Actions(アクション)][Run job(ジョブを実行)]を選択します。

ジョブが正常に実行されると、ステータスは完了に更新されます。分析概要を表示できるようになります。

資格分析概要のレビュー

クラウド資格分析概要には、侵害された場合に組織にリスクをもたらすリソースに対するすべての権限の概要が示されます。個々のリソースをクリックすると、データベースにアクセスするユーザーグループの詳細な内訳、権限、ポリシーの関係がわかりやすくグラフで示されます。このグラフを利用することで、リスクの源を迅速に特定し、緩和のために必要な対応をとることができます。

  1. Okta Privileged Accessダッシュボードで[Resource Administration(リソース管理)][Entitlement Analysis(資格分析)]に移動します。

  2. [Actions(アクション)][View analysis summary(分析概要を表示)]を選択します。

  3. リソースをクリックすると、関係グラフが表示されます。

  4. ノードをクリックすると、AWSアカウントと関連付けることができるAWS関連の情報が表示されます。

関連項目

AWSアカウントを接続する

資格分析のトラブルシューティング