Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2020年1月8日にSysdigが発表したプレスリリース(https://sysdig.com/press-releases/falco-joins-cncf-incubation/)を元に日本語に翻訳・再構成した内容となっております。
SAN FRANCISCO -- 2020年1月8日--Secure DevOpsリーダーであるSysdig,Inc.は本日、Sysdigが元々作成したオープンソースのクラウドネイティブランタイムセキュリティプロジェクトであるFalcoがCloud Native ComputingFoundation®(CNCF ®)インキュベーションレベルのホストプロジェクトとして承認された事を発表しました。 Falcoは、2018年10月にサンドボックスプロジェクトとしてCNCFに参画しました。これは、最初で唯一のランタイムセキュリティテクノロジーです。 ランタイム時に予期しない動作が発生した場合、Falcoは検出と警告を行い、セキュリティインシデントのリスクを低減させます。
ガートナーのアナリストは、「2021年までに、中規模および大規模組織の75%以上がマルチクラウドおよび/またはハイブリッドIT戦略を採用することになる」と予測しています。Kubernetesが運用するクラウド環境のビジネス上の利点には、ソフトウェア生産サイクルの短縮と、マルチクラウドおよびハイブリッドデプロイメントにわたる一貫性が含まれます。その結果、組織はコンテナオーケストレーターとしてKubernetesを標準化しています。Sysdig Container Usage Reportは、2019年にSysdigの顧客の77%がKubernetes環境を運用しており、2018年に比べて26%増加したことを発見しました。
Kubernetesは、開発チームがインフラストラクチャに簡単にアクセスできるようにします。ただし、Kubernetesを保護するには、予期しない動作を検出するための仕組みを配備する必要があります。一般的なリスクには、パッチ未適用および新しい脆弱性の悪用、安全でない構成、漏洩または脆弱な認証情報、およびアプリケーションへのエントリポイントとして使用され、データへアクセスする内部脅威が含まれます。
クラウドネイティブ環境を運用する場合、異常なアクティビティを検出できることが最後の防衛線です。これには、パフォーマンスに影響を与えることなく、コンテナ間の予期しないサービスの相互作用を理解することが必要です。Falcoは、安全なメカニズムである拡張Berkeley Packet Filter(eBPF)を効率的に活用して、システムコールをキャプチャし、詳細な可視性を獲得します。 KubernetesアプリケーションコンテキストとKubernetes API監査イベントを追加することにより、チームは誰が何をしたかを理解できます。
「ランタイムセキュリティは、クラウドネイティブのセキュリティストーリーにおける重要な要素であり、クラウドネイティブのセキュリティを真剣に考えている人にとって不可欠です。SysdigのチーフオープンソースアドボケートであるKris Nova氏は、次のように述べています。アクセス制御とポリシーの施行は重要な防止技術ですが、防止を回避する脅威を検出するにはランタイムセキュリティが必要です。
クラウドネイティブシステムのセキュリティは、標準化されているCNCFランドスケープの数少ない分野の1つです。 インキュベーションレベルのホストプロジェクトとして受け入れられたことは、Falcoがクラウドネイティブランタイムセキュリティの事実上のオープンソース標準であることを示しています。 Falcoは、政府機関、金融機関、Fortune 2000の企業、およびWebスケールの企業から信頼されています。
「FalcoがCNCF内でインキュベーション段階へ進むのは素晴らしいことです。 クラウドネイティブテクノロジーとエコシステムが成熟するにつれて、焦点はセキュリティに向かって正しくシフトします。Falcoは、侵入検知に関するクラウドネイティブセキュリティ環境の重要なギャップを埋めます。VMwareのプリンシパルエンジニアであり、CNCF TOCメンバーであるJoe Beda氏は、次のように述べています。予防面で他のプロジェクトや技術と組み合わせることで、クラウドネイティブに投資する人々のセキュリティ体制を強化できる包括的なオープンソースツールキットが提供されます。
CNCFに参画して以来、FalcoコミュニティはFalcoの導入とコントリビュートを容易にすることに注力していました。プロジェクトのコンプライアンスと健全性を確保するために、コントリビューターとメンテナーの両方にガイドラインと標準を設定するアウトラインであるガバナンスモデルが、昨年中に実装されました。FalcoはGoogleマーケットプレイスでも利用可能になり、AWS FirelensやGoogle Anthosを含むいくつかの主要なクラウドプロジェクトの立ち上げに含まれました。 Falcoコミュニティーは、OperatorHub.ioで使用可能なオペレーターを作成しました。
コンテナの運用における主要な課題の1つは、複雑なルールと構成を定義することです。SysdigはKubeCon + CloudNativeConで、Kubernetesのセキュリティのベストプラクティスと構成を検出および共有するためのリポジトリであるCloud-Native Security Hubを発表しました。現在、ハブはFalcoルールをホストしています。 次のフェーズでは、Falcoコミュニティはスコープを拡張して、他のKubernetesセキュリティツールのルールと構成を含めます。
「クラウドはランタイムセキュリティを必要とするため、Falcoを作成しました。 Sysdigの創設者兼最高技術責任者であるLoris Degioanni氏は、次のように述べています。Sysdigは、コアテクノロジーが単一のプロバイダーによって制御されるとイノベーションが抑制されるため、FalcoをCNCFに寄贈しました。 「サポート、自動化、定義済みのワークフローを必要とする企業は、Falcoを組み込んだSysdigの商用製品を使用できます。 他の組織は、Falcoを使用して独自のツールを構築することも選択できます。 Falcoはインキュベーションレベルのホストプロジェクトであるため、スタックの標準化されたコンポーネントになると期待しています。」
CNCFインキュベーターにいる間、Falcoコミュニティは引き続きエンドユーザーの採用を促進します。主な焦点は、クラウドネイティブ環境でFalcoを使いやすく統合しやすくすることです。 これには、FalcoのコンポーネントをAPIファーストアーキテクチャに移行することが含まれます。これにより、コミュニティは、Prometheus、Envoy、Kubernetesなどの他のツールとの統合の開発を開始できます。
Falcoの使用を開始するには、Falco GitHubページにアクセスしてください。 参加するには、Falco Slackチャンネルに参加し、毎週のOffice hoursの電話会議に参加して、機能の作業、未解決の問題、リポジトリの計画について話し合ってください。
Falcoの詳細についてはブログで、Twitterでフォローしてください。
[1]Gartner, Technology Insight for Network Security Policy Management, Rajpreet Kaur, Adam Hils, John Watts February 21, 2019
