Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2020年9月15日に Eric Carterが投稿したブログ(https://sysdig.com/blog/secure-and-monitor-aws-outposts-hybrid-clouds/)を元に日本語に翻訳・再構成した内容となっております。
本日、Sysdigが弊社の監視・セキュリティソフトウェアとAWS Outpostsとの統合に成功し、AWS Outposts Ready指定を達成したことを発表しました。AWS Outpostsは、AWSのインフラ、サービス、API、ツールをお客様のデータセンター、コロケーションスペース、または "エッジ "ロケーションに拡張し、オンプレム・ハイブリッドクラウドのユースケースをサポートするフルマネージドサービスを提供します。
AWS Outpostsは、AmazonのEC2パブリッククラウドの専門知識に基づいて構築されたハードウェアとソフトウェアのスタックを提供します。AWS Outpostsを利用することで、独自のコンテナオーケストレーションソフトウェアをインストールして運用することなく、Amazon EKSやAmazon ECSなどのコンテナベースのサービスを実行することができます。
AWS Outposts on-prem インフラストラクチャー
特に、低レイテンシー、ローカルでのデータ処理、ローカルでのストレージ要件を必要とするコンテナ化されたアプリケーションを実行するためにAWS Outpostsを選択することができます。さらに、AWS Outpostsとクラウドベースの環境を対象とした単一のデプロイメントパイプラインを作成し、両方にまたがるハイブリッドアーキテクチャを構築することもできます。
動的なコンテナベースの環境は、監視とセキュリティの確保が難しい場合があります。AWS Outposts上でのコンテナとKubernetesの運用も例外ではありません。これらの重要な機能の動作が遅くならないように、既存のワークフローでセキュリティと可視性をどのように有効にするかを慎重に検討する必要があるでしょう。多くの組織では、可視性とセキュリティに対応するために多大なリソースと時間を投資していますが、ここでSysdigがお手伝いすることで、お客様はより優れたソフトウェアの開発に集中し、運用に集中することができるようになります。
Sysdig の目標は、クラウドネイティブのワークロードをどこで実行しているかに関わらず、可視性とセキュリティの有効化と自動化を簡単に行えるようにすることです。SaaSファーストのアプローチを採用し、最も重要なセキュリティ、コンプライアンス、監視機能をわずか数分で利用できるように、簡素化されたオンボーディングを提供しています。
AWS Outposts上でSysdig Secure DevOpsプラットフォームのテストに着手した際、テストプランを構築する上での大前提として、「AWSで動作するならば、AWS Outposts上でも動作するはずだ」ということがありました。結局のところ、これはAWSソリューションの約束事ですよね?
良いニュースは、実際に、インストールのベストプラクティスとSysdig MonitorとSysdig SecureのセキュアなDevOps機能が、AWS Outposts上のEC2, EKS, ECSのようなソリューションでも、AWSクラウド上と同様に機能することがわかりました。
テストした内容を簡単にご紹介します。
✅ 確立されたワークフローを使用してEC2、EKS、ECSにSysdigエージェントをインストールする
✅ ホスト、コンテナ、Kubernetesのメタデータを収集する
✅ インフラとアプリのメトリクスとテレメトリの収集
✅ ダッシュボードを使用したパフォーマンス、状態、健康状態の表示
✅ コンテナ実行時のセキュリティイベントの検出
✅ EKSからKubernetesの監査ログイベントを収集する
✅ セキュリティ対応の自動化 - 例:違反したコンテナをKillする
✅ 監査活動 - コンテナとKubernetesの活動を相関させる
✅ コンプライアンスのためのCISベンチマーク - Docker-benchとKube-bench
✅ トラブルシューティングとフォレンジックのためのシステムコールキャプチャーの実行
これらのテストケースのそれぞれで、AWSクラウドでできることは、AWS Outpostsでもできるようになっています。つまり、コンテナ内を見て異常な動作やアプリケーションの健全性の問題をアラートしたり、ほぼあらゆる観点から粒度の高いデータを分析して問題を迅速に解決したりといったことができるようになります。
さらに、SysdigはAWS OutpostsとAWSパブリッククラウドのデプロイメントの可視性とセキュリティを一元化し、同じSaaSベースの統合ソリューションから提供することができます。(SysdigのSaaSの利点についてはこちらをご覧ください)。可視性とセキュリティを統合したソリューションは、お客様の複雑さを軽減し、より迅速に結果を出すことができると強く信じています。
Sysdig MonitorのHybrid Cloud Cluster Overview Dashboard
AWS Outpostsでのテストが無事終了したので、Sysdigのドキュメントにソリューションを組み込みました。また、ワンストップでご利用いただけるように、GitHubに詳細をまとめたページを作成しました。
AWSユーザーの皆様がAWS Outpostsをクラウドインフラの一部として採用されることを楽しみにしています。AWS Outpostsをご利用のお客様には、無料トライアルをご利用いただき、お客様の環境に合わせてSysdigソリューションをご利用いただけます。お気軽にお問い合わせください。
AWS Outpostsが初めての方で詳細を知りたい場合は、AWS Outpostsのページで詳細、インストラクションビデオ、お客様の声をご覧ください。
AWS OutpostsやハイブリッドAWSデプロイメントを使用したコンテナの初期サンドボックスから本番アプリケーションのデプロイメントに移行すると、新たな運用上の課題に直面することになります。Sysdigは、セキュリティ、コンプライアンス、可用性、パフォーマンスを常に把握し、クラウドアプリケーションをより迅速に出荷できるように支援します。
AWS上のクラウドアプリケーションの監視とセキュリティの確保についてのガイドをご覧ください。AWSとSysdigが提供する、セキュリティ、コンプライアンス、モニタリングをDevOpsワークフローに組み込むために必要なものをご紹介します。