Bastionhost は制御ポリシーをサポートしています。コマンド、プロトコルの制御、アクセスの制御、およびログイン制御ポリシーを設定して、O&M 操作を管理できます。これにより、ユーザーが高リスク コマンドを実行したり、誤操作を実行したりするのを防ぎ、O&M セキュリティを確保します。
手順 1:制御ポリシーを作成する
Bastionhost コンソール にログインします。上部のナビゲーションバーで、ご利用の Bastion ホストが存在するリージョンを選択します。
Bastion ホスト一覧で、管理する Bastion ホストを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、Control Policies をクリックします。
Control Policies ページで、[制御ポリシーの作成] をクリックします。
[制御ポリシーの作成] ページで、必須パラメーターを設定し、[制御ポリシーの作成] をクリックします。
コマンドポリシー
ホストコマンドポリシー | 制御が必要なコマンド
説明 このフィールドは Linux ホストにのみ適用されます。 | ポリシーが適用されるユーザーまたはホストで実行できる、または実行できないコマンドを指定します。 (ブラックリスト) 一覧表示されているコマンドは許可されていません:このオプションを選択した場合、「制御が必要なコマンド」フィールドは空のままにすることができます。ブラックリストに登録されているコマンドは、ポリシーが適用されるユーザーまたはホストでは実行できません。 (ホワイトリスト) 一覧表示されているコマンドのみ許可されています:このオプションを選択した場合は、「制御が必要なコマンド」フィールドを設定する必要があります。ホワイトリストに登録されているコマンドのみ、ポリシーが適用されるユーザーとホストで実行できます。
詳細については、「ホストコマンドの推奨ポリシー」をご参照ください。 |
承認が必要なコマンド | ユーザーが承認が必要なコマンドを実行する場合、管理者は Bastion ホストのコンソールでコマンドの実行を承認するかどうかを選択する必要があります。承認されたコマンドのみ実行できます。詳細については、「コマンドを確認する」をご参照ください。
説明 検証中は、コマンド制御ポリシーがコマンド承認ポリシーよりも優先されます。 |
データベースコマンドポリシー | 制御が必要なコマンド | (ブラックリスト) 一覧表示されているコマンドは許可されていません:このオプションを選択した場合、「制御が必要なコマンド」フィールドは空のままにすることができます。ブラックリストに登録されているコマンドは、ポリシーが適用されるユーザーまたはデータベースでは実行できません。 (ホワイトリスト) 一覧表示されているコマンドのみ許可されています:このオプションを選択した場合は、「制御が必要なコマンド」フィールドを設定する必要があります。ホワイトリストに登録されているコマンドのみ、ポリシーが適用されるユーザーとデータベースで実行できます。 照合方法:SQL 解析と正規表現の照合がサポートされています。
|
ホストコマンドの推奨ポリシー
次の表は、いくつかのコマンドとホストコマンドの推奨ポリシーについて説明しています。
コマンド | 説明 | 推奨ポリシー |
reboot | システムを再起動します。 | このコマンドを実行するには、事前に承認する必要があります。 |
restart | システムを再起動します。 | このコマンドを実行するには、事前に承認する必要があります。 |
shutdown | システムをシャットダウンします。 | このコマンドを実行するには、事前に承認する必要があります。 |
halt | システムをシャットダウンします。 | このコマンドを実行するには、事前に承認する必要があります。 |
poweroff | システムをシャットダウンします。 | このコマンドを実行するには、事前に承認する必要があります。 |
init 0 | システムを停止します。 | このコマンドを実行するには、事前に承認する必要があります。 |
pkill | 複数のプロセスを同時に終了します。 | このコマンドを実行するには、事前に承認する必要があります。 |
kill | 単一のプロセスを終了します。 | このコマンドを実行するには、事前に承認する必要があります。 |
rm -rf | ディレクトリを再帰的に削除し、プロンプトを無視します。 | このコマンドを実行するには、事前に承認する必要があります。 |
mount | ファイルシステムをマウントします。これは、ウイルスの複製リスクを引き起こす可能性があります。 | このコマンドを実行するには、事前に承認する必要があります。 |
umount | ファイルシステムをアンマウントします。 | このコマンドを実行するには、事前に承認する必要があります。 |
parted | ファイルシステムをパーティション分割します。 | このコマンドを実行するには、事前に承認する必要があります。 |
format | ディスクをフォーマットします。 | このコマンドはブラックリストに追加する必要があります。 |
dd if=/dev/zero of=/dev/had | ディスクをクリアします。 | このコマンドはブラックリストに追加する必要があります。 |
:(){:|:&};: | フォーク爆弾を作成します。 | このコマンドはブラックリストに追加する必要があります。 |
(mv)(|.*)(/dev/null) | ディレクトリを /dev/null ファイルに移動します。 | このコマンドはブラックリストに追加する必要があります。 |
(wget)(|.*)(-O- \| sh) | ファイルをダウンロードしてすぐに実行します。 | このコマンドはブラックリストに追加する必要があります。 |
mkfs.ext3 * | ディスクをフォーマットします。 | このコマンドはブラックリストに追加する必要があります。 |
dd if=/dev/random of=/dev/* | ブロックデバイスにランダムにデータを書き込みます。 | このコマンドはブラックリストに追加する必要があります。 |
プロトコル制御
RDP オプション、SSH オプション、SFTP オプション フィールドを設定します。
必要なオプションを選択すると、ポリシーが適用されるユーザーは、選択したオプションに基づいて操作を実行できます。たとえば、[ファイルのアップロード] を選択すると、ユーザーはファイルをアップロードできます。
重要 SSH チャネルと SFTP チャネルオプションの少なくとも 1 つを選択する必要があります。SSH チャネルをクリアすると、アカウントの SSH ベースのログインが無効になります。注意して進めてください。
ホストアカウントに対して SFTP 権限のみを有効にする を有効にする場合は、制御ポリシーでホストアカウントの SSH チャネルと SFTP チャネルを無効にしないでください。無効にすると、Bastion ホストを使用してホストアカウントでホストにアクセスできなくなります。
アクセスの制御
送信元 IP アドレスがポリシー適用対象のアセットにアクセスできるかどうかを指定します。
(ホワイトリスト) 一覧表示されている IP アドレスのみ許可されています:このオプションを選択した場合は、[IP アドレス] フィールドを設定する必要があります。ユーザーは、ホワイトリストに登録されている送信元 IP アドレスのみを使用して、ポリシーが適用されるアセットにアクセスできます。
(ブラックリスト) 一覧表示されている IP アドレスは許可されていません:このオプションを選択した場合、[IP アドレス] フィールドは空のままにすることができます。ユーザーは、ブラックリストに登録されている送信元 IP アドレスを使用して、ポリシーが適用されるアセットにアクセスすることはできません。
ログイン制御
O&M 承認:O&M 承認を有効にすると、O&M エンジニアは、管理者が O&M アプリケーションを承認した後にのみ、必要なアセットにログインして O&M 操作を実行できます。詳細については、「O&M アプリケーションを確認する」をご参照ください。
ログイン時の備考:ログイン時の備考を有効にすると、O&M 担当者は、Web ページベースの O&M 操作とシングルサインオン (SSO) ベースの O&M 操作を実行し、O&M トークンを申請するときに備考を入力する必要があります。次の図は、Bastion ホストの O&M ポータルでアセットに対して O&M 操作を実行する際のログイン時の備考を示しています。
手順 2: コントロールポリシーをアセットとユーザーに関連付ける
資産/ユーザのバインド ページで、制御ポリシーをアセットとユーザーに関連付けて、ポリシーをアセットとユーザーに反映させる必要があります。
制御ポリシーをアセットに関連付けます。すべての資産に適用 または 選択したすべての資産に適用 を選択できます。
説明 制御ポリシーを複数のアセットまたはアセットアカウントに関連付けるには、アセットをアセットグループに追加してから、制御ポリシーを関連付けます。
制御ポリシーをユーザーに関連付けます。Apply to All Users または Apply to Selected Users を選択できます。