DevSecOps: パイプラインのセキュリティ

Aquaのソリューション: "シフトレフト"→セキュリティチェックの自動化とイメージの検知を開発初期段階で実施

ランタイム時のアプリの保護

課題:大規模な環境にて侵入、攻撃を未然に防止
ソリューション: 手動によるまたはコンテナの挙動から学習したデータを用い、必要最低限の権限及び機能を提供し、イメージの不変性を維持

1リソースを浪費する不正コンテナ
承認されていないイメージをブロック
2不正コード注入
image driftを防止 (=イミュータビリティ)
3不適切な権限による内部の不正操作
必要最低限の権限
4不法なデータ漏洩
シークレット管理:未承認のネットワーク接続をブロック
5外部の攻撃者によるネットワーク資源取得
コンテナファイアウォールで認可されないネットワーク接続を阻止
6未知の攻撃(ゼロデイ攻撃)
行動分析/ホワイトリスティング:コンテナは規定のアクションに限定(実行環境、処理内容、ファイルアクセス、ボリューム、リソース、等)

コンテナの不変性の維持

リスク:稼働状態のコンテナに対する不正コード注入

  • 不変性を維持したコンテナは守りやすい。
  • 稼働状態のコンテナのいかなる変更も疑いの要素あり。
イメージの詳細情報を管理し、管理情報とそのイメージから起動されたコンテナの差分をチェック。変更の形跡があればアラートを発報、またはアクセスをブロック。

機械学習によるホワイトリストで、必要最低限の機能を提供

リスク: ハッカーは使用されていない機能をバックドアとして利用して進入
コンテナイメージは一般的に肥大化する

コンテナの挙動を学習してランタイム時に使用されているリソース・プロセスをホワイトリスト化。ホワイトリストに無い機能が実行された時にアラート/ブロック

Aqua Kubernetes ネイティブ管理機能

AquaはK8sのネイティブ機能を包括的に提供

  • Kubernetesベースのユーザアクセス制御
  • Kubernetesベースのイメージ管理機能
  • Kubernetesベースのネットワーク管理(ファイアウォール含む)
  • CIS Kubernetesベンチマークコンプライアンスチェック
  • 監査ログにKubernetesのコンテキストを統合

AquaはKubernetes Technology Partner
さらにCNCFメンバーとして標準化活動と普及に寄与

Kubernetes+Aqua: 統合型セキュリティ

Kubernetes

  • RBAC, セグメンテーション向けの柔軟なセキュリティ機能
  • クラスタ単位の環境設定
  • 手動でYAMLにセキュリティ設定を記載
  • クラスタの管理責任者がセキュリティ運用も兼任
  • シークレットは暗号化されない(etcdやノード内で見える)
  • SIEMとは統合されていない
  • ポッド/コンテナのランタイムセキュリティはサポートされない

Kubernetes+aqua

  • 標準的なセキュリティ:導入開始からベストプラクティスを徹底
  • 複数クラスタ、アプリ、オーケストレータ間に渡って統合的な管理
  • ポリシーに基づいて自動的に設定、施行
  • 役割の分担: セキュリティチームがセキュリティポリシーを策定、実行する
  • 複数オーケストレータに準拠したシークレットデリバリー機能
  • SIEMとの統合、コンプライアンス規制に準拠したレポート機能
  • コンテナランタイム時の監視や規制管理が機能として徹底

あらゆる環境でアプリを守る

ソリューション:一度の導入で、あらゆるプラットフォームに対応 。
セキュリティはアプリと共にインフラを移動

  • Linux と Windows コンテナ
  • 全てのオーケストレータ: Kubernetes, OpenShift, DC/OS, Docker Swarm
  • クラウド or オンプレ:AWS, Azure, GCP, IBM cloud, VM環境
  • CaaS: AWS Fargate と Azure ACI
  • マルチテナント管理
  • Coming Soon…: Pivotal Cloud Foundry対応

Aqua Securityから提供されるツール類

Dockerイメージ脆弱性スキャナー

K8s向けCIS ベンチマークテストツール

K8s用負荷テストツール

お問い合わせはこちら