Windows Azureのためのセキュリティのベストプラクティス(その壱)

Windows Azureのためのセキュリティのベストプラクティス(その壱)最近のセキュリティ対策は非常に重要なってきており、インターネットに接続している環境では、様々対応を検討する必要があります。
セキュリティはクラウドでのサーバを保護するため、いろいろな対策を検討する必要があります。よく知られているセキュリティの脅威や攻撃は以下の例があります。

パスワードクラッキング

攻撃者たちは、あなたの所有しているサーバに対して、有効なアカウント名とパスワードの組み合わせを解析してきます。
デフォルト設定のアカウント名を使用している場合は、攻撃者にとって有益な情報です。攻撃者はアカウントとパスワードを解析しなければならないのですが、空白または脆弱なパスワードの使用は、攻撃者の仕事が容易になります。
パスワードをクラックするための二つの方法が総当たり攻撃と辞書攻撃です。

総当たり攻撃:暗号解読手法の一つ。考えられる全ての鍵をリストアップし、片っ端から解読を試みる方式。

暗号文の一部を復号プログラムにしたがって変換し、意味のある文章になるか調べる。どのような形態の暗号に対しても攻撃できるが、鍵の長さが増えると考えられる鍵のパターンの数は幾何級数的に増大するため、「効率の悪い」攻撃手法であるが、文字数の少ないアカウントは解析を容易にします。

辞書攻撃:パスワードの割り出しや暗号の解読に使われる攻撃手法の一つ。

パスワード破りに使用する際には、辞書にある単語を片端から入力して試すというもので、そのまま入力するだけでなく大文字と小文字を混在させたり数字を加えたりといった処理も加えて実行するものが多い。

ウイルスのConfiker.Bワームはマシンを危険にさらすために、弱いパスワードの辞書を使用していました。おそらく資格情報のリストを使用すしており(ユーザー名とパスワード)、スクリプトで配信する場合は特に、比較的容易なアクセスを獲得します。このアプローチは、より社会的に短時間で成功の可能性を増加させる総当たり攻撃よりも注目されている。

なりすまし

偽のIDを使用して、システムにアクセスしようとする。
これは、盗まれたユーザ情報または偽のIPアドレスを使用することによって達成することができる。
攻撃者が正当なユーザーやホストなどのアクセスを獲得した後、承認を使用していろいろなハッキングが行われる。

ユーザ情報の盗難

データの盗難を通じて資格に攻撃者のアクセス、例えば、フィッシング詐欺やSNS。
1.脆弱性パスワードを使用した。
2.構成ファイルにユーザ情報を格納する。
3.ネットワーク上(メッセージ)でユーザ情報を渡す。

ネットワーク盗聴

攻撃者は、公共ネットワークのトラフィックを読み取ることによって、ネットワークからユーザ情報を盗みます。

 

翻訳
http://blogs.msdn.com/b/narahari/archive/2013/02/05/security-best-practices-for-windows-azure.aspx

[zenback]