Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2022年8月29日にDurgesh Shuklaが投稿したブログ(https://sysdig.com/blog/turbocharge-your-azure-security-and-compliance-posture-with-sysdig/)を元に日本語に翻訳・再構成した内容となっております。
本記事は、マイクロソフトが提供するAzureクラウドのセキュリティサービスやツールについてまとめました。また、セキュリティに関するAzureのデフォルトのサービスと併用することで、Sysdigが提供できる付加価値についてもご紹介します。
Microsoft Azureのクラウド向けセキュリティモデルでは、以下の原則に基づいて、Microsoftと利用者の間で責任を共有しています:
SaaS、PaaS、IaaS、オンプレミスのそれぞれの共有責任のニュアンスは、マイクロソフトの記事で紹介されている図で詳細に説明されています。
Microsoft Azure上のクラウドワークロード、アプリケーション、サービスを保護する責任は、利用者が負うことになります。しかし、Microsoftは、CNAPP*(cloud-native application platform protection:クラウドネイティブアプリケーションプロテクションプラットフォーム)や関連する(CWPP* - cloud workload protection:クラウドワークロードの保護, CSPM* - cloud security posture management:クラウドセキュリティポスチャー管理)ユースケースを支援する便利なツール群を提供しており、利用者のクラウド導入と運用を円滑にすることができます。
*これらの用語の詳細については、こちらの記事をご覧ください。
下記は、多くのMicrosoft Azureの利用者が、月額サブスクリプションのアラカルト・コレクションとして一般的に活用しているソリューションとサービスのリストです。
Microsoft Defender for Cloudは、すべてのAzureリソースのためのクラウドセキュリティポスチャー管理(CSPM)とクラウドワークロード保護プラットフォーム(CWPP)であり、現在はAzure Arcに依存するいくつかのマルチクラウド機能も提供されています。
Microsoft Defender for Containersは、コンテナを保護し、クラスター、コンテナ、およびそれらのアプリケーションのセキュリティを維持するためのエージェントベースのソリューションです。Defender for Cloudとは別のサブスクリプションとなります。
マルウェア、クリプトマイニング、攻撃など、予期せぬ潜在的に不正または悪意のある活動を特定するためのサービスです。ATPは、Microsoft Defenderの防御および検出後の調査対応機能です。ATPの機能は、多くのハイエンドマルウェア対策パッケージで標準装備されています。
Azure Policyは、組織の標準を実施し、コンプライアンスを評価するダッシュボードで環境の全体的な状態の評価や是正措置の実施に役立ちます。
APIコール、SDK、コマンドライン ツール、Azureサービスなど、アカウント サブスクリプションのアクティビティの履歴を取得し、クラウドでのデプロイメントを監視できるようになります。Sysdigは、クラウドセキュリティとコンプライアンスの継続的なフィードバックの一環として、このサービスを利用しています(他のサービスも含む)。
クラウドセキュリティは、アイデンティティの基礎から始まります。Active Directory (AD)とロールベースアクセスコントロールサービスは、きめ細かいアクセスコントロールポリシーを提供します。
オンプレミス、マルチクラウド、SaaS(Software-as-a-Service)のデータを管理するための統合データガバナンスソリューションを提供し、データ利用者が貴重で信頼性の高いデータ管理にアクセスできるようにします。他のツールと組み合わせることで、HIPAA、GDPRなどの規制を満たすことができます。
MicrosoftのSIEMであるSentinel自体はCNAPPの一部ではありませんが、クラウドのワークロード保護と連動したランタイムに近い脅威の検知機能を提供します。
Sysdigは、ユースケースに応じて、Azure上のクラウドセキュリティ態勢を全体的に強化するために、Azureセキュリティサービスに対するアドオン機能や補完機能を備えています。ここでは、Sysdigの活用を検討するシナリオを紹介していきます。
Azure Arcを使用してMicrosoft Defenderの機能をGCPやAWSに拡張することはできますが、実装自体が複雑になっています。複数のクラウドとオンプレミスのインフラストラクチャー間の運用を簡素化・標準化したい場合、Sysdigのように統合できるプラットフォームは最適です。
図1. Sysdig Secureでのインフラストラクチャーのマルチクラウドビュー
Sysdigは、オープンソースのFalcoプロジェクトを活用して、ランタイムの脅威検知を行っています。これにより、脅威の早期発見につながるだけでなく、特定の疑わしいイベントフィードのみをSIEMに送信するようSysdig内でFalcoのルールを設定することが可能です。これにより、SIEMの導入に伴うインジェストとストレージのコストの削減が可能になります。
マイクロソフトのセキュリティサービスは、Azureを意識して作られたカスタム機能を複数持っているため、Azureに最適なソリューションです。Sysdigのソリューションは、さまざまなクラウドプラットフォームで複数のユーザーに利用され、テストされており、必要に応じて異なるクラウドプラットフォームで動作する機能を備えています。
このユースケースでは、確立された業界主導のガイドラインや仕様に従います。Azureのコンプライアンスに関連する主なサービスは、Microsoft Defender for Cloudです。しかし、Azureで完全なコンプライアンスを実現するために必要なサービスは他にもあります。Azure PolicyやMicrosoft Azure Purviewなどです。SOC2、PCI、NIST、ISO-27001、HiTrust、HIPAA、FedRAMP、GDPRなどの管理フレームワーク、CISベンチマークに由来するベストプラクティス、クラウド事業者の提案など、あらゆるコンプライアンス管理を一元化して行うことができるのです。
図2. コンプライアンスとベンチマークレポートにより、クラウドインフラクチャーやワークロード・アプリケーションのセキュリティ状況を継続的に把握することができます。
Microsoft Defender for cloudは、クラウドアカウントとサービスの構成に関するセキュリティの所見を提供するのに非常に優れていますが、コンテナワークロードに対する可視性が欠けています。コンテナのワークロードを検査するには、Microsoft Defender for Containersサービスを使用する必要があります。Sysdigは、コンテナとクラウドの両方の世界におけるセキュリティ態勢の概要を提供します。同様に、Advanced Threat Protection と Microsoft Sentinel を組み合わせると、IAM アクセスキー、コンピュートインスタンス、blobストレージ、Azure AKS リソースなどの Azure リソースに関わる異常をうまく検出することができるようになります。しかし、これらはクラウドの予算に計上しなければならない追加サブスクリプションです。
ここで強調しておきたいのはSysdigは、オープンソースのFalcoプロジェクトを活用している点です。ワークロード保護やクラウドセキュリティ監視などのランタイム検出機能を提供することで、すべてのセキュリティユースケースを1つのサブスクリプションで利用することができます。Sysdigの脅威検知機能は、クラウドのイベントだけでなく、コンテナ内のシェルの起動、機密フォルダ内の変更、bashの履歴の削除など、コンテナのワークロード側に存在するイベントも検知します。
図3. 脅威検知ダッシュボード
また、Sysdig Secureは、強力かつシンプルな統一エクスペリエンスと予測可能なコストモデルを提供し、Microsoft Azureおよびマルチクラウドセキュリティを強化します:
下記の表にMicrosoft Azureの各ツールにおけるSysdigの付加価値をまとめています:
ユースケース |
カテゴリー |
Microsoft Azureのサービス |
Sysdigの付加価値 |
VMとコンテナの設定と脆弱性スキャン |
CWPP, CSPM |
Microsoft's Defender for Containers Microsoft's Defender for Cloud integrates with Rapid7 or Qualys Scanners 注意:QualysまたはRapid7が提供するクラウド用の追加ライセンス要件があります。 |
ホストインスタンスとイメージの脆弱性スキャン機能を拡張し、ランタイムインテリジェンスを適用してリスクスポットライトを提供します。動的チェックと静的チェックを統合し、CSPMとコンプライアンス機能を拡張。1つのサブスクリプションで、仮想マシンとコンテナの両方を保護します。アウトオブボックスで使えるマルチクラウドのサポート |
クラウドセキュリティの監視とインテリジェントな脅威検知 |
CWPP, and also CSPM |
Advanced Threat Protection Microsoft Sentinel |
Sysdigの中でFalcoオープンソースプロジェクトのパワーを利用することができます。CWPPとクラウドセキュリティ監視のための豊富なルールセットを標準で提供。ワークロードとクラウドのための強力なランタイム検出機能。Sentinel SIEMに報告されるイベントをフィルタリングすることで、SIEMのコストを削減します。 |
監査ログ |
セキュリティの中核となるカテゴリーではないが、補足的なもの |
Activity Logs |
アクティビティログとのネイティブな統合 |
コンプライアンスとデータセキュリティ |
CSPM、標準化、React/Alert |
Microsoft's Defender for Cloud |
Sysdigは、クラウドとワークロードの継続的なコンプライアンスと修復機能を統合しています。 |
センシティブなデータの監視 |
データ関連 CSPM |
Azure Purview |
Microsoft Azureのデフォルトのツールを使用すれば、クラウドとコンテナのセキュリティの基本的な保護はできますが、下記に記す4項目を含めた完全に保護するためには、Sysdigのようなプラットフォームが必要です。