ブログ

Amazon EKS-Dにおけるセキュリティ、コンプライアンス、可視性

Amazon EKS-Dにおけるセキュリティ、コンプライアンス、可視性

本文の内容は、2020年12月1日にEric Carterが投稿したブログ(https://sysdig.com/blog/security-compliance-visibility-amazon-eks-d/)を元に日本語に翻訳・再構成した内容となっております。

本日、AWSはAmazon EKS Distro (EKS-D)を発表し、Sysdigは当社のSecure DevOpsソリューションで新しいKubernetesディストリビューションのサポートを提供できることに興奮しています。コンテナアプリケーションを実行するためにEKS-Dの実行を選択した場所がどこであろうと、Sysdigは、実行時の脅威の検出と対応、コンプライアンスの継続的な検証、監視とトラブルシューティングにも使用できます。

このブログ記事では、EKS-Dのユースケースについての洞察を提供し、Sysdigがセキュリティと可視性を拡張して自信を持ってアプリを実行できるようにするDevOpsワークフローについて説明します。

Amazon EKS-Dとは?

Amazon EKS Distro (EKS-D) は Amazon Kubernetes の公式ディストロで、Amazon EKS を動かすために使用されているのと同じ安全性、検証済み、テスト済みの Kubernetes コンポーネントをお客様が実行できるようにします。EKS-Dはオープンソースであり、顧客が管理し、コミュニティがサポートしていることを意味します。さらに、相互運用性、スケール、セキュリティを検証するためにAWSでテストされているという利点もあります。EKS-Dには、オープンソースのKubernetes、etcd、ネットワーク、ストレージプラグインのバイナリやコンテナが含まれており、すべて互換性がテストされている。

アマゾンは、顧客の視点からEKS-Dのいくつかの目標と成果を概説しています。これには次のようなものが含まれます。

  • 顧客がどのような環境でもKubernetesを簡単に実行できるようにする。
  • コミュニティサポートが終了した後のKubernetesのバージョンの拡張サポートを提供する
  • GitHub、Amazon S3、Amazon ECRからのリリースやアップデートへのセキュアなアクセスを実現

AWSで利用できるオプションの範囲は、顧客が管理するオンプレミスのKubernetesから、完全に管理されたKubernetes環境へと広がっています。

sysdig20201202_0.png

良いニュースは、AWSで選択したKubernetesのデプロイの種類に関係なく、Sysdigをデプロイして深い可視性を得て、脅威、脆弱性、疑わしいアクティビティを見ることができるということです。

セキュリティ、コンプライアンス、可視性のためにEKS-DでSysdigを使用する

EKS-Dとの相互運用性の鍵を握るSysdigのエージェントは、EKSやその他のKubernetesデプロイメントと同様に、Sysdigです。ノードごとに単一のエージェントを使用することで、クラスターの数や運用場所(オンプレミス、クラウド、ハイブリッド構成)に関係なく、クラスターのセキュリティと監視を一元化した可視性を提供します。

Sysdigエージェントは、EKS-D上でDaemonSetとして実行され、セキュリティと可視性をクラスタに合わせて自動的にスケールアップ、スケールダウンします。Helmチャートまたはオペレータを使用してインストールし、環境全体に自動展開することができます。インストールされると、エージェントはイベントの収集とSysdigバックエンドへのテレメトリのストリーミングを開始し、収集したデータとの対話、ポリシーの設定、アラートの設定などを開始して、クラスターへの洞察を得ることができます。

Sysdig Secure DevOps Platform with EKS-DとCI/CDパイプラインやAmazon ECRなどのレジストリを含む周辺ツールを活用することで、セキュリティ、コンプライアンス、可視性のための主要な機能をDevOpsワークフローに統合することができます。これには、ビルドパイプラインのセキュリティ、ランタイム脅威の検出と対応、コンプライアンスの検証、コンテナとKubernetesの監視などが含まれます。

sysdig20201202_1.png

Sysdigは、実行時の脅威検知とレスポンスのためのオープンスタンダードであるFalcoとsysdig OSSを含むオープンソースのスタック上に構築されたSaaSプラットフォームです。次に、EKS-Dユーザーが利用できる主要な機能の一部を見てみましょう。

EKS-Dのランタイムセキュリティ

ワークロードの動作を可視化して異常なアクティビティを特定することは、EKS-D の実行時にコンテナを保護するために重要です。たとえば、DevOpsチームは、不審なコンテナやネットワークのアクティビティがあるかどうか、予期せぬプロセスがスポーンされているかどうか、侵入やDoS攻撃を示す可能性のあるその他のアクティビティがあるかどうかを知る必要があります。

Falcoによるランタイムセキュリティ

FalcoはもともとSysdigによって構築されたオープンソースのランタイムセキュリティツールです。クラウドネイティブコンピューティング財団(CNCF)に寄贈され、現在は、CNCFのインキュベーションプロジェクトとなっています。Falcoは実行時にカーネルからのLinuxシステムコールを解析し、強力なルールエンジンに対してストリームをアサートします。ルールに違反した場合、Falcoのアラートがトリガーされ、多くの異なる通知チャネル(#Slackなど)に送信することができます。

大規模なオープンソースのコミュニティベースのルールセットと25のOOTB統合(そしてFalcoの仲間と一緒に成長しています)を備えた堅牢なランタイム検知エンジンを利用して、EKS-Dクラスタを保護することができます。

FalcoからSlackへの出力例

sysdig20201202_2.png

Sysdig Secureによるランタイムセキュリティ

オープンソースのFalcoプロジェクトをベースにしたSysdig Secureランタイムセキュリティは、本番環境のコンテナに対する脅威を検出し、防止します。利用可能なアウトオブボックスポリシーを設定したり、Falco構文を使用して独自の検出ルールを作成し、予期しないアプリケーションの動作を識別することができます。ルールに違反した場合、アラートがトリガーされ、EKS-Dからのコンテキストで強化された詳細な情報が取得されるため、何がどこで起こったのかを迅速に理解することができます。

Sysdig Secureのランタイムコンテナセキュリティイベント

sysdig20201202_3.png

EKS-Dの継続的なコンプライアンス

Sysdigは、EKS-Dでコンテナを実行する際に、規制コンプライアンス基準(PCI-DSS、NIST 800-190、NIST 800-53、SOC2など)を満たすのに役立ちます。コンプライアンスコントロールにマッピングされたスキャンとランタイムポリシーを有効にして、コンテナのコンプライアンスを検証し、違反をブロックし、ファイルの整合性の監視を有効にし、詳細な監査情報を取得することができます。アクティビティ監査は、すべてのコンテナのアクティビティをKubernetesのコンテキストと相関させ、コンテナがなくなった後でも何が起こったかを証明するのに役立ちます。

NIST準拠ランタイムセキュリティポリシー

sysdig20201202_4.png

Sysdigではコンプライアンスダッシュボードも提供しており、コンプライアンスの状況を可視化し、進捗状況を追跡するのに役立ちます。

Sysdig Secureのコンテナコンプライアンスダッシュボード

sysdig20201202_5.png

コンテナとEKS-Dを監視する

セキュリティとコンプライアンスの監視に加えて、EKS-Dクラスターのパフォーマンス、可用性、利用率を把握することも重要です。この情報を使用することで、例えば、アプリケーションのパフォーマンスを把握し、リソースの追加や削除のタイミングを知ることができます。

Sysdig Monitorのダッシュボードでは、一般的に使用されているクラウドサービスを監視したり、EKS-Dクラスタの健全性と状態を可視化したりすることができます。SysdigはKubernetesモニタリングのデファクトスタンダードであるPrometheusと完全に互換性があります。開発者が使用しているメトリクスや、既製のエクスポーターから入手可能なメトリクスを収集して使用することで、さらなるコンテナ運用の全体像を把握することができます。

sysdig20201202_6.png

Golden Signals などの主要なメトリクスを使用することで、アプリケーションと Kubernetes インフラストラクチャーの健全性とパフォーマンスを把握することができます。

インシデント対応とフォレンジック

最後にご紹介するSysdig + EKS-Dのユースケースは、インシデント対応とフォレンジックを加速させる機能です。Sysdigは多くのデータソースを利用して詳細な記録を提供し、インシデントの「いつ」、「何を」、「誰が」、「どのように」に答え、セキュリティ侵害の影響を迅速に封じ込めるのに役立ちます。SysdigはKubernetes APIの監査ログをインジェストして、クラスター内で誰が何をしたかを警告します。また、Sysdig独自の機能として、インシデント発生前、インシデント発生中、インシデント発生後のすべてのシステムコールアクティビティをキャプチャする機能があり、コンテナが動作しなくなった場合でも、すべてのシステムアクティビティを再作成するために必要な情報を得ることができます。

Sysdig Inspectを使用したシステムコールフォレンジック

sysdig20201202_7.png

まとめ

私たちは、AmazonがKubernetesを全面的に活用していることを大変気に入っており、AWSの新しいソリューションを使ってソフトウェアをテストすることに常に興奮しています。EKSからOutposts、Fargate、そして今回のEKS-Dに至るまで、AWSチームが推進しているコンテナ領域のイノベーションを見ることができるのは嬉しいことです。私たちのマントラは常に、「お客様がいるところでサポートする」ということでした。安全で信頼性の高いKubernetesディストリビューションをオンプレミスで管理したいと考えているお客様には、EKS-Dという素晴らしい新しいオプションがあります。Sysdigでは、必要な場所で自信を持ってコンテナを実行できるようにしたいと考えています。ぜひ無料トライアルでお試しください。まだ準備ができていませんか?AWS Container Services のセキュリティと可視性についてのガイドを読んで、もう少し詳しくお知りになりましょう。

ご質問・お問い合わせはこちら

top