Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2020年1月27日にSysdigのÁlvaro Iradierが投稿したブログ(https://sysdig.com/blog/ibm-sysdig-multicloud-management/)を元に日本語に翻訳・再構成した内容となっております。
クラウドネイティブワークロードのモニタリングとセキュリティの業界リーダーであるSysdigとIBMは、企業がマルチクラウドの世界で今必要とするセキュリティとパフォーマンスを提供する完全に統合された強力なプラットフォームを実現するために協力しました。
Sysdig SecureとIBM Cloud Pak for Multicloud Management(MCM)は、エンタープライズハイブリッドクラウド環境で最初からセキュリティと規制順守に対処することにより、Kubernetesとクラウドの採用を加速するのに役立ちます。より多くの組織がマルチクラウドに移行するにつれて、ワークロードの管理、セキュリティ、およびモニタリングを標準化することで、どこで実行する場合でも、円滑な運用に役立ちます。
IBM Cloud Pak for Multicloud Managementは、クラスターおよびクラウド全体のコンテナ化されたワークロードの可視性、ガバナンス、および自動化を単一のダッシュボードに一元化します。MCMの重要な機能の1つは、クラウドチームの管理者がクラウドアプリケーションとワークロードに関連するセキュリティの問題を理解、優先順位付け、管理、解決するのに役立つセキュリティ調査結果の集中化です。Sysdig SecureとIBM Multicloud Managementの統合により、MCMユーザーが利用できるセキュリティインテリジェンスの深さが次のように拡張されます。
Sysdig Secureは、マルチクラウド管理向けのIBM Cloud Pakコンプライアンス機能を強化し、NIST、PCI、GDPR、HIPAAなどの規制要件を満たすのに役立ちます。 MCMでSysdig Secureをデプロイすることにより、ユーザーはコンテナのセキュリティを拡張して、脆弱性を防ぎ、脅威を阻止し、インシデント対応を加速し、フォレンジックを可能にします。
Sysdig Secure DevOps Platformの一部であるSysdig Secureは、クラウドネイティブのワークロードを保護するためのKubernetesセキュリティおよびコンプライアンスソリューションです。コンテナライフサイクルの構築、実行、レスポンスの各段階にセキュリティインテリジェンスを組み込みます。
Sysdig Secure 機能:
IBM Cloud Pak for Multicloud Managementを使用すると、実行場所に関係なく、複数のKubernetesおよびOpenShiftクラスターをモニタリングできます。 MCMは、パブリッククラウドとプライベートクラウドの両方でクラスターを表示および管理するための単一のダッシュボードを提供します。 IBM Cloud、IBM Cloud Private、またはOpenshiftにCloudPakとしてデプロイできます。
IBM Multicloud Managementを使用すると、Kubernetesクラスターを単一のポイントから制御できます。ユーザーの可視性、アプリケーション中心の管理(ポリシー、デプロイメント、健全性、オペレーション)、およびポリシーベースのコンプライアンスを提供します。これには、クラウドプロバイダーやクラスター全体にわたるCISなどのさまざまなセキュリティコントロール用のすぐに使えるポリシーテンプレートが含まれます。これにより、クラスターのセキュリティを確保し、効率的に運用し、アプリケーションが期待するサービスレベルを提供できます。
MCMアーキテクチャは、管理に使用されるハブクラスターと、管理対象クラスターのセットで構成されます。 klusterletエージェントはすべての管理対象クラスターで実行され、ハブと通信してフィードバックを提供し、管理対象クラスターに必要なコマンドを適用します。
MCMを使用すると、管理対象クラスターのいずれかを対象とするアクションをトリガーできます。たとえば、OPAポリシーconfigmapやPSPなどのYAML定義からリソースを作成できます。または、カタログからヘルムチャートを選択して、MCMダッシュボード、API、またはCLIツールからアプリケーションを一度に複数のクラスターにすばやくデプロイします。
セキュリティイベントへの集中アクセスは、クラウドデプロイメント全体で発生するインシデントをリアルタイムで把握して対処するためにCISOとSREにとって重要です。 MCMのガバナンスおよびリスクダッシュボードは、ポリシー、違反、およびセキュリティ検出結果の集中ビューを提供し、セキュリティの脅威に対する可視性を加速します。 MCMには、ポリシー定義を簡素化するためのすぐに使用できるルールがあり、ポリシーセクションに非準拠ステータスが表示されます。
[Security findings]セクションでは、すべての管理対象クラスターから発生するオカレンスの集約された検索可能なビューと、クラスターで実行されているポリシーコントローラーからの非準拠項目を取得します。これらの調査結果は、重大度、カテゴリ、または標準ごとにまとめられ、オプションでクラスターごとにグループ化できます。
ダッシュボードのSecurity findingsセクションは、Security findings API(Grafeas APIに類似)によってサポートされています。これにより、MCSはSysdig Secureによって提供されるような追加の検出ソースを組み込むことができます。セキュリティ検出結果は、IBM QRadarやSplunkなどのSIEMに転送できる監査ログを生成して、セキュリティオペレーションセンター(SOC)の検出結果の可視性と改善を促進できます。
Sysdig SecureでMCM統合を有効にすると、Secureアカウントで有効になっているポリシーとルールによって生成されるセキュリティ検出UIでポリシーイベントの受信を開始します。これらのアイテムはUIで使用できるだけでなく、調査結果データベースにも保存されます。このデータベースは、エンタープライズセキュリティオペレーションセンターチームが使用するSIEMツールや、エンタープライズリスクおよび コンプライアンスチームが使用するコンプライアンスツールです。
Sysdigで生成されたセキュリティイベントとMCM内の他の検出結果の組み合わせにより、セキュリティ状態のより全体的なビューが提供されます。次のスクリーンショットではいくつかのイベント例を見ることができます:
下記のリストには、並べ替え可能な列と複数の行がある表が表示されます。各行には、説明、関連するリソース、重大度、クラスター名、標準、コントロール、カテゴリ、イベントが発生した時刻など、最も重要なイベントフィールドが一目で含まれています。 このビューでは、次のことがわかります。
これらの項目のいずれかをクリックすると、詳細ビューが開きます。この例では、Sysdig Secureから転送された「コンテナで生成されるターミナルシェル」ランタイムイベントが表示されます。demo-kube-awsクラスターでセキュリティイベントが発生し、追加のコンテキスト情報にKubernetes Namespace やコンテナ名などのメタデータが表示されていることがわかります。長い説明フィールドには、ユーザー名、プロセス名、イメージなどの詳細情報が含まれます。
さらなるインシデント対応とフォレンジック調査のために、Sysdig Secure UIにジャンプして、イベントの詳細を調べることができます。
アクティビティ監査を確認して事後分析を実行し、タイムライン内の同じコンテキストのすべてのアクティビティを関連付けて、シェルを起動したKubernetesユーザーとそのターミナルセッション内で発生したアクティビティを見つけることで、さらに掘り下げることができます。
作成したランタイムポリシーにキャプチャファイルのトリガーが含まれている場合、UIから直接、詳細なキャプチャ情報を分析することもできます。これにより、メトリクス、実行されたコマンド、システムコール、ソケット、ファイルを検査し、I/Oストリームを検査して、インシデント中に送信、読み取り、または書き込みされたデータを確認することもできます。
Sysdig Secure DevOps PlatformとIBM Cloud Pak for Multicloud Managementの統合により、MCMによる脅威の防止、検出、対応を拡張するセキュリティインテリジェンスが強化されます。Sysdigを使用してクラウドに関する詳細な洞察を追加することにより、CISO、SRE、DevOpsの専門家はビジネスリスクを削減するための包括的なセキュリティガバナンスを確保できます。
SysdigとIBMは継続的に改善に取り組んでいるので、近い将来新しい機能と投稿を期待してください。