ランタイムのセキュリティ
from
ゼロトラストネットワーク ―― 境界防御の限界を超えるためのセキュアなシステム設計
実行されているアプリケーションの
セキュリティ
も重要
セキュアコーディングの実践
アプリケーションレベルの
脆弱性
は潜在的な
バグ
から始まることが多い
セキュアコーディングの実践
ソースコード自動解析ツール
ファジング
ゼロトラストネットワーク
では、アクセスできるリソースをデプロイされたアプリケーションごとに制限し、分離することが重要
分離の方法 :
仮想化
と
共有カーネル
SELinux
、
AppArmor
、
BSD jails
、
仮想化
、
コンテナ化
、
Apple
の
App Sandbox
、
Windows
の
分離アプリケーション
監視
従来は外部の攻撃に焦点を絞っていたが、
ゼロトラストネットワーク
では内部のアクティビティにも同レベルの
セキュリティ対策
を講じる
ログインの成功・失敗などのセキュリティイベントなどのログ (受動的な監視)
能動的な監視
: 継続的にスキャンする
ファジング
(
afl-fuzz
など)、
インジェクションスキャン
(
sqlmap
など)、
ネットワークポートスキャン
(
nmap
など)、一般的な
脆弱性スキャン
(
nessus
など)
不審なものが見つかったら? →
アクティブレスポンス
という手もある
アプリケーション同士が相互に監視するという考え方もある