2019.12.10

AquaがAWS Security Hubと連携が可能となりました #AquaSecurity #AWS #AWSSecurityHub

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2019年12月2日に公開された「Aqua Integrates with AWS Security Hub: Closing the Gap on Cloud Native Security」の日本語翻訳です。

AquaがAWS Security Hubと連携が可能となりました

AWS Security Hub SecOpsツールは、さまざまなAWSアカウントに対してセキュリティおよびコンプライアンスチェックの包括的な可視化を提供します。セキュリティの調査結果は統合されたダッシュボードに収集および要約されるため、セキュリティ担当者は自動化されたコンプライアンスチェックを使用して環境を継続的に監視できます。Aqua Cloud Native Security Platform は、クラウドネイティブアプリケーションの開発・パッケージ化・およびランタイムに固有のセキュリティ情報を収集し、クラウドネイティブワークロードの完全な可視性と制御を提供します。 AWS Security Hub との統合により、クラウドネイティブアプリケーションのワークロードが Amazon ECS・EKS、またはその他のオーケストレーションプラットフォームで実行されているかどうかに関係なく、クラウドネイティブアプリケーションの脆弱性と脅威を詳細に可視化できます。

Aqua のログデータを AWS Security Hub に送信することで、可視性のギャップの解消、セキュリティ担当者の脅威への迅速な対応、より多くの情報に基づいたリスク管理方法の決定が可能になります。

開発から本番環境までセキュリティを提供

Aqua はユーザの使用する CI/CD ツールに組み込むことで、ビルドプロセス時にイメージスキャンを実行し、危険なイメージを特定およびブロックすることによりコンテナイメージがレジストリにプッシュされることを防ぎます。ランタイムエンジン(Amazon ECS、Amazon EKSなど)にデプロイされるずっと前にコンテナアプリケーションの保護をします。イメージがレジストリにプッシュされた後も、Aqua はレジストリ上のイメージを継続的にスキャンし、Aquaで定義したポリシーに違反するイメージを見つけ、関連する開発チームに通知、さらにイメージが本番環境にデプロイされることを防ぎます。危険なイメージとそれに対応する脆弱性は、AWS Security Hub ダッシュボードを通じて報告されます。

Aqua は、イメージをランタイム環境にデプロイする試みを追跡し、スキャン時にポリシーに引っかかる、またはAquaに登録されていない未承認のイメージが本番環境にデプロイされることを防ぎます。これらのイメージを本番環境にデプロイしようとすると、AWS Security Hub を介してアラートが発報されます。

仮想マシンとは異なり、コンテナは不変性を維持することがベストプラクティスとなるため、コンテナ内で直接構成を変更することは止めましょう。アプリケーションに加えられた変更は、単純な再構成であっても再ビルドし、CI/CD メカニズムを介して本番環境にデプロイすることが重要です。コンテナの不変性を担保するために、Aqua はコンテナのアクティビティを学習してホワイトリスト化し、実行時にホワイトリスト外の挙動をするのを防ぎます。本番環境のコンテナを変更しようとする疑わしい、または不正な試みが行われた場合、その実行可能ファイルはコンテナの再起動なくブロックされ、アラートが AWS Security Hub に送信されます。

1コンテナは通常1サービス(プロセス)となるので、ネットワークの動作を予測することは容易です。Aqua はネットワーク動作を監視して、不正なネットワーク接続をブロックし、AWS Security Hub を介してネットワークアクティビティに関するアラートを送信します。

容易なセットアップと構成

AWS Security Hub と Aqua の連携に既存の Aqua ライセンスを変更する必要はありません。AWS Security Hub は「サイドカー」コンテナとして実装されます。ユーザは CloudFormation テンプレートを活用し、必要な構成変更(IAM ロールなど)を加えることができます。プラグインがインストールされると、Aqua はすぐに検出結果を AWS Security Hub に送信し始めます。