Aqua CNAPP:開発からクラウドへ、そして逆方向へ。往復のセキュリティ #aqua #セキュリティ #CNAPP
本ブログは「Aqua Security」社の技術ブログで2023年5月2日に公開された「 Aqua CNAPP: From Dev to Cloud and Back 」の日本語翻訳です。
開発からクラウドへ、そして逆方向へ。往復のセキュリティ
RSA 2023 では、クラウドネイティブセキュリティには1つの統合されたアプローチが必要であるという、切望されていた認識の変化が明確となり、合意することとができました。
クラウドセキュリティを重視するのであれば、それはすなわちクラウドアプリケーションのライフサイクルを重視することになります。このライフサイクルには、アプリケーションの構築とアプリケーションの実行という2つの基本的な部分があります。アプリケーションを保護するためには、コードからクラウドまでのアプリケーションライフサイクル全体を保護する必要があります。つまり、アプリケーションを構築する開発環境の保護 (開発セキュリティ) と、本番でアプリケーションを実行するワークロードとインフラの保護 (クラウドセキュリティ) です。
さて、アプリケーションライフサイクルのこの2つの部分について、あなたが実行すべきアクションが2つあります。まず、開発環境とクラウド間で何が起こっているのかを確認できるようにすることです。どれだけのコンテナが稼働していて、どこにあるのか。Log4j の脆弱性にどの程度さらされているのか。Jenkins のビルドプロセスをサポートしているプラグインは何か。クラウドアカウントは適切に設定されているか。これらや他の多くの疑問は、適切なエンドツーエンドの可視化によって答えることができます。
しかし、セキュリティは開発現場やクラウドで見えるものだけではありません。アプリケーションに起こる既知・未知の事態に対処し、同じような悪いことが起こるのをリアルタイムで阻止する能力も必要です。
クラウドネイティブアプリケーションの世界をシンプルに示すこの図が、史上最大のセキュリティカテゴリーになると予測される「クラウドネイティブアプリケーション保護プラットフォーム (CNAPP)」についての合意を後押ししています。
以下は、そのイメージ図です。
しかし、これは4つに分かれたカテゴリーではありません。その逆です。これらの部品はすべて、1つのシンプルなクラウドネイティブセキュリティアプローチとして、一緒に機能する必要があるのです。そして、クラウドネイティブセキュリティの歴史上初めて、誰もがその統一と統合に同意することができました。(万歳!)
水平統合: 開発とクラウドを統合
クラウドで何が起きているのか、気にするだけではいけません。近年、クラウドの可視化を実現するツールの導入が進んでいます。クラウドセキュリティポスチャ管理ツール (CSPM) が市場に受け入れられているのは素晴らしいことです。しかし、ソフトウェアサプライチェーンセキュリティについてはどうでしょうか。コードやオープンソースのコンポーネントについてはどうでしょうか。組織は、コードとソフトウェアのサプライチェーンを、開発からクラウドまですべてスキャンする必要があります。
開発者の決定がクラウドに与える影響を確認し、問題がクラウドにある場合は、それを修正できる開発者にリアルタイムでフィードバックできるようにする必要があります。これは、開発からクラウドへ、そしてその逆方向へ。いわば往復のセキュリティです。
垂直統合:可視化して、止める
可視化することは良いことですが、それは最初の一歩にすぎません。クラウド攻撃の高度化に伴い、セキュリティ担当者は適切な疑問を持つようになっています。自分のクラウドアプリケーションに悪いことが起きないように、自分は守られているのだろうか。クラウドアプリケーションに起こる悪い出来事から自分は守られているのか。必要であればリアルタイムで攻撃を検知して止めることができるのか。
私は、RSA 2023 で、業界や地域を問わず、企業のお客様とのミーティングを何十件も傍聴しました。クラウドセキュリティは統一されたものである必要があり、攻撃を検知して止めることができなければならないのです。
ツールの統合を推進する
市場環境と、クラウドネイティブセキュリティには単一の統合されたアプローチが必要であるという認識から、私たちはまもなく、お客様によるツールの統合が進むと見ています。ガートナー社では、数年以内に CNAPP ツールが 10種類 から 3種類 に集約されると予想しています。
Aqua は、アプリケーションデリバリーライフサイクルの全段階において、クラウドネイティブアプリケーションのセキュリティのあらゆる側面に対応する唯一のエンドツーエンドの CNAPP を市場に送り出しています。
ここで簡単な例を挙げます。実行時に脆弱性を発見した場合、それが発生したコード行を正確に結びつけ、開発者を特定し、問題を修正するためのプルリクエストを提案します。明日のスナップショットによって脆弱性を特定するのを待つ必要はなく、すぐに特定し、点と点を結びつけ、改善策を提案します。エージェントレススキャンをサポートする最新鋭のセンサーで何ができるかは驚くべきことです。結局のところ、アプリケーションのコンテキストを完全に把握することで、改善策をより良いものにすることができます。
このようなことができる単一セキュリティプラットフォームは、Aqua だけです。
確かに、他のベンダーもこれを実現できると主張しています。しかし、それは同じではありません。例えば、従来の EDR ベンダーは、Aqua が提供するソフトウェアサプライチェーンに比べると、コンテキストと粒度を欠いており、攻撃へのリアルタイムな対応ができません。また、他のクラウドネイティブセキュリティベンダーは、クラウドで起きていることをすべて見ることができても、それをあなたのレポジトリにあるコードと結びつけることはできません。私たちは、クラウドネイティブセキュリティのパイオニアです。7年前、私たちはクラウドネイティブアプリケーションを保護するためにクラウドで誕生し、その使命から一度も逸脱していません。
私たちがベストクラウドネイティブセキュリティソリューションに選ばれたのは、そのためです。それは、魔法や魔術ではありません。それは、私たちが CNAPP (Frost & Sullivan Global Cloud-Native Application Protection Platform Reportによる) のトップイノベーションリーダーであるからです。私たちは、開発現場からクラウドまで、クラウドネイティブな攻撃をリアルタイムで確認し、阻止するための点と点を結ぶことによって、お客様の最大の課題を解決することに一意専心しているからなのです。
