fbpx

CL LAB

HOME > AquaSecurity > CL LAB > ガートナー社作成2020年ワークロード保護プラットフォーム市場ガイド #aqua #コンテナ #セキュリティ #ガートナー #レポート

ガートナー社作成2020年ワークロード保護プラットフォーム市場ガイド #aqua #コンテナ #セキュリティ #ガートナー #レポート

 ★ 5

本ブログは「Aqua Security」社の技術ブログで2020年7月9日に公開された「 Gartner’s 2020 Market Guide to Cloud Workload Protection Platforms 」の日本語翻訳です。

ガートナー社作成2020年ワークロード保護プラットフォーム市場ガイド


クラウド・リソースの保護方法に関するリファレンスをお探しの方は、ガートナー社が最近発表した『Market Guide for Cloud Workload Protection Platforms』* をご覧ください。このガイドでは、ハイブリッドクラウド環境におけるワークロードを保護する際にユーザが評価しなければならないコア機能と主要なアーキテクチャの考慮事項が概説されています。

Aqua Security にもスポットを当てたこのレポートで、ガートナー社は次のように述べています。

「クラウドネイティブアプリケーションの保護要件は進化しており、パブリッククラウドとプライベートクラウドの仮想マシン・コンテナ・サーバーレスワークロードにまたがっています。セキュリティとリスク管理のリーダーは、ハイブリッドクラウドのワークロード特有の動的なセキュリティ要件に対処しなければなりません。」

ガートナー社は、セキュリティとリスクの専門家が行うべきことを提言しています。

  • ワークロード(特にコンテナやサーバーレス)のテストを CI/CD パイプラインに積極的に取り入れること。ランタイムの保護だけに焦点を当てた Cloud Workload Protection Platform(CWPP)の製品は、アプリケーションとそれらをホストするワークロードにおける重要な変化を見逃している。
  • コンテナオーケストレーションの監視とサーバーレス機能に特化した CWPP ベンダーを推奨。
  • 場所・サイズ・アーキテクチャに関係なく、すべてのワークロードを一貫して可視化し、制御できるように設計すること。
  • CWPP ベンダーに対し、リスクの高い設定を識別するための統合的なクラウドセキュリティ態勢管理(CSPM)機能の提供を求めること。
  • 実行環境におけるアンチウィルス中心の戦略を、(検知モードでも良いので)可能な限りワークロード保護に対する「ゼロトラスト実行」/デフォルトで拒否するアプローチに置き換えること。

これらのクラウドセキュリティのニーズと、Aqua によってどのように対応できるかを詳しく見てみましょう。

シフトレフトの概念を CI/CD に組み込む

コンテナとマイクロサービス技術においては、継続的インテグレーションと継続的デリバリー(CI/CD)が IT チームの標準になりつつあり、驚くほどのスピードと柔軟性を実現しています。このように新しいコードをプッシュする速度が速くなっているため、攻撃の対象となる部分をより適切に制御し、開発フェーズの早い段階にセキュリティを組み込むことで、アプリケーションがデプロイされる前にセキュリティの問題を早期に検出して迅速に修正できるようにする必要があります。

Aqua はすべてのクラウドネイティブワークロードに対してこの機能を提供します。コンテナイメージ・VM イメージ・および Function をスキャンして既知の脆弱性・シークレット情報・マルウェア・不適切な設定・および過剰に付与された権限を検出し、CI パイプラインに直接統合するだけでなく、レジストリやファンクションストアにも統合します。さらに Aqua DTA(動的脅威分析)は、静的イメージスキャンを回避する隠れたマルウェアを含むイメージを検出し、本番環境にデプロイされることを防ぎます。これらによりインシデントの対応を早い段階で取り組む(シフトレフトする)ことができます。

コンテナとサーバーレス機能のためのネイティブな制御

クラウドネイティブはアーキテクチャに根本的な変化をもたらします。従来のセキュリティソリューションでは、インストールされたホストベースのエージェントやネットワークベースの制御を使用していましたが、新しいスタック内のアプリケーションコンテキストや適切な制御ポイントが不足していました。これらの機能がなければ、脅威を適切に検知して対応することは不可能です。

Aqua はコンテナとサーバーレスネイティブに設計されており、ライフサイクル全体にわたってワークロードのアクティビティを完全に可視化して自動制御します。ワークロードの種類ごとに専用の Enforcer (Aqua のコンポーネントの一つ)を備えた Aqua は、コンテナであれ Function 環境であれ、どこで実行されていてもワークロードを追跡するセキュリティ制御を提供します。これによりアプリケーションの継続性を妨げず、パフォーマンスを最適化したきめ細かなセキュリティを提供することが可能になります。

すべてのワークロードに渡る可視性の提供

最近では、ほぼすべてのクラウドネイティブのエンタープライズデプロイメントで複数の種類のワークロードが使用されており、また複数のクラウドやハイブリッドクラウドにまたがっているケースが多いです。時には複数の管理プラットフォームを使用することもあります。

Aqua はすべての一般的なプラットフォームやワークロードの種類をサポートすることに熱心に取り組んでおり、すべての環境で脆弱性・ポリシー・イベントの統一性を提供しています。また、多くのチームやステークホルダーが関与していることを認識しており、組織がチームや役割間の分離を維持しながらクラウドネイティブ環境内のすべての要素に対するアクセスと権限を定義できるように Aqua は RBAC モデルを開発しました。

CWPP と CSPM の組み合わせ

CWPP は実行するクラウドネイティブアプリケーション(ワークロード)を保護する一方で、CSPM は実行するインフラストラクチャの保護を支援します。これにより、クラウドインフラストラクチャを保護し、クラウドサービスが安全に構成されていることを検証します。これらを組み合わせたサービスは、単に相互に補完し合うだけではなく、クラウドスタック全体と上下の両方でセキュリティと可視性を提供するために不可欠です。

Aqua CSPM を使用すると、セキュリティ構成の問題を継続的に監視、コントロールを自動化、さらには改善アドバイスを自動化することができます。AWS・Azure・GCP・Oracle を含むすべての主要なパブリッククラウドをサポートします。ユーザの役割と権限、証明書とMFA、特定のサービス構成、データの暗号化、ネットワーク、監査機能、使用傾向、異常検知を調査します。お客様の環境を監視しながら是正措置のためのアラートを提供し、コンプライアンスや CIS ベンチマークに関するレポートを提供します。

ゼロトラストによるランタイム保護

ゼロトラストセキュリティにより、組織はアプリケーションが可能な限り最も安全な方法で実行されていることを決定論的に保証できます。これにより、組織が対処すべきイベントの数を減らすことができるため、組織は攻撃ポイントを限定し、それを補完するリアクティブな制御(検出と応答)をより効果的なものにできます。 ゼロトラストは設定・ワークロードの展開・ワークロードのランタイム保護・ネットワークに適用できます。Aqua はこれらすべての面でのコントロールを提供します。

  • Aqua Image Assurance Policy は環境で許容される、または許容されないものの許容度を定義することで、承認されていないイメージ・VM・Function のデプロイを防ぎ、運用エラー・イメージの拡散・不正なデプロイを未然に防ぎます。
  • Aqua のワークロードファイアウォールは、オーケストレータの概念(Pod名、Namespace)、IP/CIDRアドレス、DNS に基づいて動的なファイアウォールルールを自動的に作成し、正当な接続のみ許可します。ネットワークトラバーサルの試みに対して警告を発したり、通信をブロックしたりすることでワークロードにマイクロセグメンテーションを実装します。
  • Drift Prevention を使用してコンテナと Function の不変性を強制し、実行中のワークロードの承認されていない変更を検出します。マルウェアやゼロデイ攻撃を特定してブロックし、最小特権許可リストを使用して異常な動作、特権ユーザへの昇格、コードインジェクションを検出して防止します。
  • Aqua はコンテナのランタイム動作を自動的にプロファイリングし、この情報をもとに作成される Image Profile によってコンテナに動作制限を適用します。特定のコンテナのための許可リストを作成し、特定のランタイムアクティビティの実行をブロックできます。例えば Aqua はコンテナが実行時に使用するシステムコールをプロファイルし、それらのみを許可してその他はブロックすることで、コンテナのエスケープを防止することができます。

まとめ

クラウドネイティブセキュリティを中心に企業の要件が進化し続ける中、セキュリティに妥協することなくクラウドの機能をフルに活用する必要性も高まっています。ソフトウェアベンダーはスタックの上下、SDLC 全体、そして複数のプラットフォームにまたがるセキュリティの懸念に対処する強力で統一されたソリューションを提供することが期待されています。

New call-to-action* Gartner, Market Guide for Cloud Workload Protection Platforms, Neil MacDonald, Tom Croll, 14 April 2020

New call-to-action

CL LAB Mail Magazine

CL LABの情報を逃さずチェックしよう!

メールアドレスを登録すると記事が投稿されるとメールで通知します。

メールアドレス: 登録

※登録後メールに記載しているリンクをクリックして認証してください。

Related post