Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2020年11月16日にEric Carterが投稿したブログ(https://sysdig.com/blog/image-scanning-google-clouds-artifact-registry/)を元に日本語に翻訳・再構成した内容となっております。
CI/CD、コンテナ、オープンソースで構築されたモダンなアプリケーション開発をサポートするため、Google Cloudは新しいアーティファクト管理ソリューションであるArtifact Registry(一般提供開始)を発表しました。Sysdigは、コンテナの脆弱性や設定ミスを特定してリスクを軽減する包括的なイメージスキャンにより、Artifact Registryを使用するDevOpsチームが自信を持ってビルドパイプラインを確保できるように支援します。
このブログでは、Artifact Registry の特徴を説明し、Sysdig Secure イメージスキャンを活用して、本番に向かうコンテナイメージのセキュリティとコンプライアンスを確保する方法を説明します。
Artifact Registryは、Google Container Registryを進化させたものです。コンテナイメージだけでなく、言語やOSパッケージの保存、管理、安全性の確保、共有のための単一の場所を提供します。Artifact Registryは、Google CloudのCI/CDプラットフォームであるCloud Buildやその他の一般的なCI/CDおよびセキュリティツールと完全に統合されており、開発者やDevOpsチームは、Google Cloudが利用可能な場所であればどこでも、安全でプライベートなビルドアーティファクトストレージを利用することができます。
"Google Cloud のプロダクト・マネージャーである Juan Sebastian Oviedo 氏は次のように述べています。"Sysdigがコンテナセキュリティとモニタリングの機能を提供し、組織がソフトウェアサプライチェーンの安全性を確保し、より高い可視性を得ることができるようにすることに興奮しています。"
Artifact Registryは、安全で効率的なDevOpsプロセスをサポートするためのいくつかの新機能を提供しています:
Artifact Registryの全貌を知るには、Google Cloudのウェブサイトの製品ページをご覧ください。
開発者や DevOps チームが直面する課題の 1 つは、アプリケーションの配信を遅らせることなく、いかにしてコンテナのセキュリティリスクを管理するかということです。イメージスキャンは、イメージコンテンツを分析してセキュリティ問題、脆弱性、設定ミスなどを本番環境に投入される前に検出し、ブロックするための第一の防御ラインです。
Sysdig Secure はイメージスキャンを自動化し、CI/CD パイプラインやレジストリ内のイメージの脆弱性を識別します。SysdigのImageVisionと呼ぶものを使用することで、Artifact Registryのユーザーは、さまざまなイメージの脆弱性や設定ミスの検出を自動化することができます。事前に設定されたポリシーは、一般的なセキュリティの脅威や悪習を検出するだけでなく、PCI DSSやNIST 800-190のようなセキュリティやコンプライアンスの基準にも対応しています。
さらに、カスタマイズ可能なイメージスキャンポリシーにより、OS パッケージ、非公式パッケージ、サードパーティ製ライブラリを含むイメージコンテンツの検証を微調整することができます。また、特権ユーザとして実行されるように設定されたイメージや、機密性の高い秘密やパスワードが含まれているなど、危険な設定をチェックすることもできます。さらに、アラートを設定したり、停止アクションを設定して、本番クラスターで脆弱なイメージが実行されないようにブロックすることもできます。
Sysdig Secureがサポートするイメージスキャンには2つのアプローチがあります:
インラインスキャンは、コンテナイメージの内容がGoogle Cloudインフラストラクチャーから離れることがないという明確な利点があります。これによりプライバシーが保護され、クレデンシャルの漏洩を防ぐことができます。
Artifact Registry用のSysdig Secureイメージスキャンソリューションのもう一つの利点は、本番環境で稼働しているコンテナの脆弱性を特定できることです。これは何を意味するかというと、脆弱性データベースによって新しいCVEが報告されると、本番稼働中のイメージが新たに報告された既知の脆弱性の対象となっているかどうかを判断するためにイメージを再スキャンする必要がないということです。
Artifact Registryは、Google Kubernetes Engine(GKE)、Cloud Run、Compute EngineなどのGoogle Cloudランタイムと統合されています。Sysdig SecureはKubernetesメタデータを組み込んで脆弱性レポートにコンテキストを追加し、クラウドチームが脆弱性を特定のアプリケーションやサービスに遡ってマッピングし、修正プログラムの実装に取り組む責任のあるチームを迅速に特定できるようにします。
Artifact Registryのユーザーがコンテナイメージのセキュリティとコンプライアンスの姿勢をより簡単に理解できるように、Sysdigのイメージスキャンレポートは、DevOpsとセキュリティチームがイメージ、パッケージ、およびCVEのカタログに関する情報をより簡単にアクセスして、どこに力を入れるべきかの意思決定をサポートします。
例えば、CVEのage、ソフトウェアのバージョン、修正プログラムの有無などのパラメータに沿って、イメージスキャンの結果をフィルタリングすることができます。これらのレポートは、ユーザーインターフェースからアクセスでき、ダウンロードしてチーム間で共有することで、リスクに関するコミュニケーションを向上させ、セキュリティ向上のための行動をとることができます。
Sysdigの目標は、コンテナ、Kubernetes、クラウドサービスを自信を持って実行するために必要な脅威を見て阻止するために必要な深い可視性を企業に提供することです。Sysdigで利用可能な機能のフルセットの詳細については、当社のプラットフォーム製品ページをご覧ください。
Google Cloudは、企業がクラウドネイティブアプリケーションの提供を加速するためのイノベーションで業界をリードしています。Sysdig SecureとArtifact Registryをペアリングすることで、クラウドチームはソフトウェアデリバリパイプラインの安全性を高め、変化のペースを維持し、本番環境でのリスクを低減することができます。
今すぐArtifact RegistryとSysdigをお試しください!30日間の無料トライアルを申し込む