界: Environment

このセクションには、ソースコード以外のものでも、作成中の製品のセキュリティにとって重要なものがすべて含まれています。この分野が対象とする問題は、ソースコードに直接関係しないため、この分野の他の部分と分けました。

GCP Terraform Misconfiguration: Weak Cryptographic Cloud DNS Signature

Abstract

Terraform 構成は、安全でない署名アルゴリズムを使用した、Cloud DNS Domain の Domain Name System Security (DNSSEC) を有効にします。

Explanation

DNSSEC は、DNS 応答の検証にデジタル署名を使用する機能を提供することにより、DNS 偽装を防止します。ただし、SHA-1 を使用する DNSSEC 署名アルゴリズムは、増え続ける攻撃のリスクには脆弱です。SHA-1 は、デジタル署名で使用される場合、安全なハッシュアルゴリズムとは見なされなくなりました。

例 1: 次の例は、安全ではない署名アルゴリズム rsasha1 を使用して DNSSEC を有効にする Terraform 構成を示しています。


resource "google_dns_managed_zone" "zone-demo" {
...
  dnssec_config {
    default_key_specs {
      algorithm = "rsasha1"
      ...
    }
  }
...
}

References

[1] HashiCorp dns_managed_zone

[2] Google Cloud Use advanced DNSSEC

[3] Tony Finch SHA-1 chosen prefix collisions and DNSSEC

[4] IETF RFC 8624 Algorithm Implementation Requirements and Usage Guidance for DNSSEC

[5] Standards Mapping - CIS Google Cloud Computing Platform Benchmark Recommendation 3.4, Recommendation 3.5

[6] Standards Mapping - Common Weakness Enumeration CWE ID 327

[7] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000166, CCI-002418, CCI-002422, CCI-002450

[8] Standards Mapping - FIPS200 SC

[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-10 Non-Repudiation (P2), SC-12 Cryptographic Key Establishment and Management (P1), SC-13 Cryptographic Protection (P1)

[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-10 Non-Repudiation, SC-12 Cryptographic Key Establishment and Management, SC-13 Cryptographic Protection

[11] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration

[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 6.2.2 Algorithms (L2 L3)

[13] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration

[14] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration

[15] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 7.1 - Use of Cryptography

[16] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 7.1 - Use of Cryptography

[17] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 7.1 - Use of Cryptography

[18] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002010 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002010 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002010 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II

desc.structural.hcl.gcp_terraform_misconfiguration_weak_cryptographic_cloud_dns_signature