Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2021年8月30日にSysdig CEO Suresh Vasudevanが投稿したブログ(https://sysdig.com/blog/sysdig-apolicy-infrastructure-as-code-security-and-auto-remediation/)を元に日本語に翻訳・再構成した内容となっております。
本日、SysdigはApolicyの買収を完了し、お客様がコード通りにインフラを保護できるようになりました。ApolicyチームがSysdigファミリーの一員となり、豊富なセキュリティのDNAを当社にもたらしてくれたことを大変嬉しく思います。
当社のお客様は、クラウドやKubernetesのインフラをIaCセキュリティで構成する際に、セキュリティをさらにシフトレフトさせ、リスクを管理できるようになりました。Apolicyの独自の差別化は、Open Policy Agent(OPA)や自動修復ワークフローを介してポリシーをコードとして活用することで、IaC、クラウド、Kubernetes環境でのポリシー管理を簡素化することにあります。これにより、お客様はKubernetesやクラウドのセキュリティを強化し、プロダクションからソースへのギャップを埋めることができます。Apolicyは現在、コンテナ、Kubernetes、クラウド全体のセキュリティ、コンプライアンス、モニタリングを一元化するSysdig Secure Devopsプラットフォームの重要な柱となっています。
最先端のソフトウェア開発を形成する大きな力は2つあります。1つ目は、コンテナ、Kubernetes、パブリッククラウドサービスを活用したマイクロサービスへの移行です。もう1つは、ソフトウェアを継続的に構築してデプロイするためのDevOps文化とプロセスの採用です。これらの2つの力によって、安全で信頼性の高いソフトウェアを確保するためには、根本的に異なるアプローチが必要となります。これは、3つの重要なテーマに焦点を当てたSecure DevOps Platformの設立当初からの使命です。
DevOpsやCI/CDツールの導入が進むにつれ、アプリケーション開発者がコードをリリースする頻度は非常に高くなっています。これに伴い、パイプラインに統合されたイメージスキャンにより、脆弱性が本番ソフトウェアに混入するのを防ぐことは、ベストプラクティスとして認められており、Sysdig Secure DevOps Platformの中核的なユースケースとして、何百ものお客様がこの機能を導入しています。
現在、DevOpsチームは同じ原則をインフラストラクチャーのデプロイと管理に適用しています。Infrastructure as CodeとGitOpsは、いくつかの重要な原則に基づいています。
IACが急速に普及しているのは、運用管理を改善することで耐障害性を高めることができるからです。また、IACは、インフラが本番環境に導入される前に構成上のリスクを特定して排除することで、セキュリティとコンプライアンスを大幅に向上させることができます。Apolicy社の買収により、この可能性を現実のものとすることができます。
Apolicyのアプローチを掘り下げていくと、彼らがIACセキュリティに独自の方法で取り組んでいることが明らかになりました。ソースから本番までの構成リスクに包括的に対応することを理念としているApolicyの主な差別化ポイントは以下の通りです。
Apolicy社のIACセキュリティは、当社のKSPM(Kubernetes Security Posture Management)とCSPM(Cloud Security Posture Management)を強化し、イメージスキャン、ランタイムの可視化、脅威の検知と対応、規制遵守など、当社のSecure DevOpsプラットフォームで対応する他のユースケースを補完します。
2020年は、"クラウドに懐疑的"な企業にとっても、コンテナやクラウドの導入が優先されるようになるという、画期的な出来事がありました。それに伴い、最新のクラウドアプリケーションを導入する際の最大の障壁である、コンテナとクラウドのセキュリティリスクに対処することが急務となっています。このニーズに対応するには、ソースから本番までの可視性、セキュリティ、コンプライアンスを確保するSecure DevOpsアプローチが必要です。お客様が自信を持って最新のクラウドアプリケーションを実行できるように、この信念が私たちの原動力となり、急速なペースで革新していきたいと考えています。