明かされる真実:エージェントレスセキュリティは真のセキュリティではない #aqua #コンテナ #セキュリティ
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2023年3月7日に公開された「 Truth Revealed: Agentless Security is Not Real Security 」の日本語翻訳です。
明かされる真実:エージェントレスセキュリティは真のセキュリティではない
ようやく、長らく続いた「エージェントレス vs エージェント」の論争に終止符が打たれました。クラウドワークロードのセキュリティを強化したいのであれば、おのずとエージェントが必要となります。多くのセキュリティ専門家は最初からこのことを知っていましたが、多くの人がエージェントレスセキュリティの過大に期待するようにミスリードされていました。
なぜこのようなことを話題にするかというと、エージェントレスのみの大手ベンダー2社がついに降参し、ランタイムエージェントベースおよび CWPP ベンダーとの提携を発表したからです。
これらの会社は、長い間、エージェントは「古い」、「エージェントベースのセキュリティは死んだ」と声高に主張してきた会社です。マーケティングの観点からは、このような言い方をするのは理解できます。しかし、セキュリティの観点からは、これはずっと不可解なことでした。
なぜ、それが重要なのか?
エージェントレスセキュリティをめぐる業界の誇大広告において、多くの組織が、エージェントレスソリューションを導入することで、クラウド環境を完全に保護し、セキュリティを確保できたと誤解させてしまっています。もちろん、これは事実ではありません。エージェントレスはついに「膨らんだ期待のピーク」を過ぎ、「幻滅の谷」に向かって叫んでいるのです。
現実には、エージェントレスのみのアプローチには根本的な欠陥があり、誤った安心感によって、本来のリスクが見えなくなってしまいます。セキュリティベンダーが「パブリッククラウド環境では設定ミスがなく、PCI にも準拠しているので安全です」と言っても、騙されてはいけません。エージェントレスでは検知することができない半数のメモリ常駐型攻撃はどうでしょうか。エージェントがいなければ、これらの攻撃をブロックすることはおろか、検知することもできないのです。
エージェントレスだけのアプローチには根本的な欠陥があり、誤った安心感によって、本来のリスクが見えなくなってしまいます。パブリッククラウド環境に設定ミスがないという事実は、セキュリティが確保されていることを意味しません。メモリ常駐攻撃の半数を検知できません。エージェントレスセキュリティではブロックすることはおろか、これらを検知することもできないのです。
エージェントレスセキュリティだけでは不十分な理由
エージェントレスセキュリティソリューションは、可視化、基本的なコンプライアンス、ポスチャ管理を提供しますが、エージェントベースのセキュリティとは対照的に、実行時にアプリケーションを保護したり、本番で攻撃を阻止できません。その理由を確認してみましょう。
- リアルタイムの可視性 - エージェントレススキャンは通常24時間に1回実行されるため、スキャンが実行された特定の状況を示すことができます。それ以外の時間帯は、環境で何が起こっているのか、まったくわからないまま実行されていることになります。
クラウドワークロードは高速かつ刹那的であるため、次のスキャンまでにワークロードが実行されなくなっていることも多々あります。さらに、攻撃者は環境に侵入し、攻撃から数秒とは言わないまでも、数分以内に目当てのものを奪って姿を消してしまうでしょう。
- 強制ができない - エージェントレスソリューションはディスクイメージのコピーを取るので、実際に実行されているコードを見るわけではありません。実際、スナップショットが取得されると、実行中のワークロードとは何の関係もありません。ディスクイメージのスナップショットから攻撃を特定できたとしても、問題についての警告を発することしかできません。攻撃を阻止する仕組みはありません。そのためにはエージェントが必要です。結果として、顧客は自分自身で攻撃を阻止することになります。
- 洗練されたファイルレス技術 - 攻撃者はますます巧妙になっており、検出を回避して足跡を残さないためにファイルレスマルウェアを使用することがよくあります。先月、当社のセキュリティリサーチチームである Aqua Nautilus が、HeadCrab というカスタムメイドのファイルレスマルウェアで Redis サーバを攻撃するグローバルキャンペーンを検出したばかりです。エージェントレスソリューションは、静的なディスクイメージしか観測しておらず、メモリ上で実行されているプロセスを見ることができないため、このような高度な脅威を見逃します。またしても、もう1つの盲点です。
結論としては、エージェントレスの可視性は非常に優れており、迅速かつ容易に適用することができます。だからこそ、エージェントレスがあるのです。しかし、それはパズルの1ピースに過ぎません。本番環境は何かあった時のリスクが大きいため、ミッションクリティカルで繊細なワークロードには、リアルタイムのセキュリティと保護が必要です。したがって、エージェントが必要です。
エージェントレスとエージェントの両方が必要
最新のパートナーシップの発表では、クラウドで効果的な保護を実現するためには、セキュリティ戦略においてエージェントレスとエージェントの両方を使用する必要があることが提唱されています。私たちは長い間このことを提唱してきましたが、「純粋なエージェントレス」のベンダーもようやくこのことに気づいたことは嬉しいことです。
しかし、単にエージェントレスとエージェントの両方を導入するだけでは十分でありません。全体像を把握するためには、両者の間に強いつながり、統一された可視性、リスクの相関関係が必要です。そうでなければ、リスクを理解し、セキュリティ上の問題に優先順位をつけるためのコンテキストが欠如してしまうことになります。
残念ながら、エージェントはワークロード保護の中核であり、技術的に最も難しい部分であるため、自社のプラットフォームにサードパーティーのエージェントをそのまま組み込もうとしても、目的を達成できません。複数のベンダーを組み合わせても、ツールの乱立、サイロ化した可視性、断片的なランタイム保護につながるだけです。
クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) がサイロ化した機能群ではなく、統合プラットフォームであるためには、エージェントはパーツではなく、ソリューションに不可欠な一部分でなければなりません。これは、1つのベンダーの単一プラットフォームで初めて可能になります。
Aqua のビジョン:1つのプラットフォームですべてを繋ぐ
Aquaは、初期の段階からビジョンが非常に明確でした。アプリケーションのライフサイクル全体をカバーするエンドツーエンドのセキュリティソリューションを、1つの総合的なプラットフォームで提供することです。真の CNAPP となるためには、強力なランタイムコントロールを含み、進行中の攻撃を阻止するソリューションでなければならないと、私たちは常に考えてきました。
そのため、私たちはランタイムセキュリティソリューションを完全に自社で構築し、8年間の現場経験と顧客からの学びによって強化してきました。eBPF テクノロジーに基づく当社の Lightning エージェントは、従来のエージェントよりも高速かつ軽量で、規模に応じた管理が容易になっています。また、Aqua Nautilus の集中的なクラウドネイティブセキュリティリサーチは、何千もの攻撃を研究し、新しい脅威の特定と保護に役立つ行動シグネチャを生成することで、お客様にもメリットをもたらします。
さらに、Aqua プラットフォームは、アクティブな保護とエージェントレスなワークロードの可視性を組み合わせた最初の CNAPP です。ゼロから一緒に構築されたエージェントとエージェントレスは、お互いを強化し、アプリケーションライフサイクル全体でコンテキストを共有することで、セキュリティチームが最も高いリスクを迅速に検出、優先順位付け、修正するだけでなく、進行中の攻撃を阻止できるようになりました。
クラウド攻撃がますます巧妙化していることを考えると、可視性だけでは十分でありません。堅牢な保護には、エージェントとエージェントレスの両方が必要であり、1つの包括的で統合されたプラットフォームが必要です。
本物のCNAPPを求めて
ビジネスやセキュリティのリーダーとして自問自答しなければならない最も重要な質問は、「本番環境のクラウドアプリケーションに悪いことが起こらないように保護されているか」、「いざとなったらリアルタイムで攻撃を検知して止めることができるか」です。
クラウド攻撃がますます巧妙化していることを考えると、可視性だけでは十分でありません。堅牢な保護には、エージェントとエージェントレスの両方が必要であり、1つの包括的で統合されたプラットフォームが必要なのです。
Aqua では、お客様のクラウドイノベーションをよりセキュアにし、アプリケーションを(開発からランタイムまで、オンプレミスとクラウドのどちらでも、どこにデプロイされていても) 攻撃から保護するというミッションに全力で取り組んでいます 。
