fbpx

Amazon EKS-DistroによるDXをAquaで保護 #aqua #コンテナ #セキュリティ #eks #aws #eksdistro

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2020年12月1日に公開された「 Secure your Digital Transformation on Amazon EKS-Distro with Aqua 」の日本語翻訳です。

Amazon EKS-DistroによるDXをAquaで保護


DXにおいてクラウドの利用は基本と言っても過言ではありません。しかし、多くの組織ではハイブリッドなアプローチが好まれています。これにより、理想的にはオンプレミスと全く同じ基盤ツールをクラウド上で使用できます。新しい Kubernetes ディストリビューションである Amazon EKS-Distro を使えば、Amazon EKS と同じ安全性、検証済み、テスト済みのコンポーネントを好きな場所で実行できます。私たち Aqua は AWS と協力して EKS-D のセキュリティを確保し、Kubernetes 環境とワークロードのためのセキュリティコントロールを、この新しいディストリビューションにまで拡張しました。

EKS-D はオープンソースの良さを詰め込んだ顧客管理ソリューションです。運用の安定性やセキュリティ修正のためのパッチ、上流の Kubernetes との互換性をテストしたもの、Amazon EKS との整合性など、すべてが揃っています。

Kubernetesの複雑性

コンテナは、軽量でリソースを最適化し、高度にスケーラブルなアプリケーションを生成するために導入されました。 しかしKubernetesを筆頭に、コンテナはより強力で洗練されたマイクロサービスアーキテクチャを構築するためのブロックとして使用されるようになりました。その結果Kubernetes は、ハイブリッドまたはマルチクラウドアーキテクチャでも、システムの近代化と移行戦略における必須の存在となりました。

EKS-D では、アプリケーションの近代化を迅速に進めるために、インストール可能で再現性の高い Kubernetes のビルドへの一貫したセキュアなアクセスを提供しています。一方で、Kubernetes の占める領域が、多様な環境でより複雑なアーキテクチャへと成長するにつれ、セキュリティを犠牲にせず、かつ効率的に管理することはますます困難になってきています。

Kubernetes インフラストラクチャには、複雑に組み込まれた多数の機能が付属しており、ちょっとした設定変更でも環境全体に大きな影響を及ぼす可能性があります。Kubernetes はまだ新しい機能で急速に進化しています。そのため、これらの複雑さを管理するのは時間がかかり、圧倒されることが多々あります。知識の格差は計り知れないと思われますが、Aqua の新しい機能である KSPM(Kubernetes Security Platform Management)によって、お客様の Kubernetes セキュリティのニーズに対応します。

Kubernetesのための全体的なセキュリティ

Aqua が提供するKubernetes セキュリティソリューションを使用すると、エージェントレスのランタイムセキュリティでクラスタ全体を保護できます。また、ホスト OS へのアクセスを必要とせずに、Kubernetes ワークロードを保護できます。これにより、管理または制限された Kubernetes 環境でのシームレスなデプロイが可能になります。

さらにAqua KSPM ソリューションは、全く新しいレベルの Kubernetes インフラストラクチャに対するセキュリティを推進する包括的な機能を提供します。これは、設定ミス、不明瞭な可視性、セキュリティのベストプラクティスとのギャップ、最小特権アクセスの実施、ワークロードのセキュリティコンプライアンスの最も正確な評価などに、効果的に取り組むための先駆的なアプローチです。

Risk Explorer - Aqua Risk Explorer はクラスタ全体のビュー機能を提供しながら、Kubernetes 環境内のアセットの自動検出とリスク評価を実行します。

kube-bench - Aqua は CIS ベンチマークに対するクラスタの評価を自動化する kube-bench を介して、クラスタセキュリティのリーダーとして長い間活躍してきました。これはオープンソースコミュニティ内でのデファクトスタンダードであり、Aqua Enterprise プラットフォームの本質的な一部となっています。

kube-hunter - Kubernetes セキュリティのためのもう1つのオープンソースツールである kube-hunter は、Kubernetes クラスタ内のセキュリティ上のリスクを探す業界唯一のアクティブな侵入テストツールです。

Roles and Subjects Risk Assessment - Aqua は Apolicy と連携して、Kubernetes のユーザとServiceAccountの権限を評価し、過剰な権限の有無を評価します。この結果から、最小権限のセキュリティギャップに対処し、その是正を支援します。

Kubernetes Assurance Policies(KAP) - KAP はワークロード構成のセキュリティ状態を評価するための Kubernetes ネイティブ機能です。イメージリスク評価と連動して、KAP はワークロードのコンプライアンスを評価するために、セキュリティのベストプラクティスに対して Kubernetes Podの構成(リソース制限、ケーパビリティ、ネットワークなど)を評価します。

まとめ


Kubernetes に関する成功事例の中には、苦労話や懸念点などが詳細に説明されていないことが多々あります。しかし、Kubernetes セキュリティは皆が関心をもっているものであり、最重要課題です。Aqua では Kubernetes やその他のクラウドネイティブ環境のセキュリティに関する研究と学習の結果、Kubernetes インフラストラクチャとその上で実行されるワークロードの両方を保護する包括的なアプローチにたどり着きました。オープンソースの Kubernetes ディストリビューションとして Amazon EKS-D を利用できるようになったことで、スムーズなハイブリッドデプロイメントの可能性が広がりました。Aqua を利用することで、すべての環境で一貫した保護が可能になります。

New call-to-action

New call-to-action
新規CTA