コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2021年7月20日にSysdig CEO Suresh Vasudevanが投稿したブログ(https://sysdig.com/blog/sysdig-and-apolicy-join-forces-to-help-customer-secure-infrastructure-as-codeを元に日本語に翻訳・再構成した内容となっております。

本日、SysdigがApolicyを買収し、お客様がコードとしてのインフラストラクチャーのセキュリティを確保できるようにすることを発表しました。Apolicyがもたらすイノベーションはユニークで高度に差別化されており、ソースから本番までのギャップを埋めるコードとしてのポリシーと自動化された修復ワークフローを活用することで、お客様がKubernetesとクラウドのセキュリティとコンプライアンスを強化することができるため、これ以上ないほど興奮しています。Apolicyは、当社の Secure DevOpsのビジョンを実現するための重要な構成要素であり、Apolicyチームは、Kubernetesとクラウドセキュリティに関するSysdigの深い専門知識も強化します。

最先端のソフトウェア開発を形作る大きな力が2つあります。1つ目は、コンテナ、Kubernetes、パブリッククラウドサービスを活用したマイクロサービスへの移行です。もう1つは、ソフトウェアを継続的にビルドし、デプロイするためのDevOps文化とプロセスの採用です。これらの2つの力によって、安全で信頼性の高いソフトウェアを確保するためには、根本的に異なるアプローチが必要となります。これは、3つの重要なテーマに焦点を当てたSecure DevOps Platformの設立当初からの使命です。

• シフトレフトセキュリティ：CI/CD手法の採用により、ソフトウェアが本番環境にデプロイされる前に、ソフトウェア開発パイプラインの一部としてソフトウェアの脆弱性や設定ミスを特定し、修正する必要があります。
• ランタイムセキュリティ：最先端のアプリケーションは、何千ものコンテナ化されたサービス（多くの場合、一過性のもの）とパブリッククラウドのリソースをつなぎ合わせて構成されています。包括的な保護には、ランタイムの深い可視性、振る舞いを識別した脅威の検知、ポリシーの遵守、脅威の防止、インシデント対応が必要です。さらに、ランタイムセキュリティで識別された事象は、ソフトウェアのライフサイクルの早い段階で是正されるべきであり、シフトレフトセキュリティとランタイムセキュリティの間に好循環が生まれます。
• 継続的なコンプライアンス：リスクおよびガバナンスチームは、監査に対応するだけでなく、継続的に、規制遵守の義務と内部リスク管理ポリシーを満たす必要があります。理想的なソリューションは、コンプライアンスポリシーと特定のセキュリティコントロールとのマッピングを自動化し、リグレッションをリアルタイムに追跡し、チケッティングシステムと統合することで、開発者の生産性に悪影響を与えることなくコンプライアンスを実現します。

IACのセキュリティは、Secure DevOpsの鍵であり、Apolicy社の買収の動機となりました

DevOpsやCI/CDツールの導入が進むにつれ、アプリケーション開発者がコードをリリースする頻度は非常に高くなっています。これに伴い、パイプラインに統合されたイメージスキャンにより、脆弱性が本番ソフトウェアに混入するのを防ぐことは、ベストプラクティスとして認められており、Sysdig Secure DevOps Platformの中核的なユースケースとして、何百ものお客様がこの機能を導入しています。

現在、DevOpsチームは同じ原則をインフラストラクチャーのデプロイと管理に適用しています。Infrastructure as CodeとGitOpsは、いくつかの重要な原則に基づいています。

• インフラの状態は、Gitなどのソースコードリポジトリ内のバージョン管理されたコード（YAML、Terraformなど）として定義されます。
• インフラへの変更は、ソースファイルを変更するプルリクエストによって行われます。
• プルリクエストが承認されてマージされると、ソースリポジトリで定義された状態に合わせて本番のインフラが再構成・同期されます。

IACが急速に普及しているのは、運用管理を改善することで耐障害性を高めることができるからです。また、IACは、インフラが本番環境に導入される前に構成上のリスクを特定して排除することで、セキュリティとコンプライアンスを大幅に向上させることができます。Apolicy社の買収により、この可能性を現実のものとすることができます。

Apolicy社の「ソースから本番までのIACセキュリティ」は高度に差別化されている

Apolicyのアプローチを掘り下げていくと、彼らがIACセキュリティにユニークな方法で取り組んでいることが明らかになりました。ソースから本番までの構成リスクに包括的に対応することを理念としているApolicy社の主な差別化ポイントは以下の通りです。

• ソースと本番の間のドリフトを自動修復：Apolicyは、本番環境でポリシーに違反するあらゆる構成を検出します。さらに重要なことは、Apolicyは構成を該当するIACソースファイルにマッピングし、ソースファイルを修正するためのプルリクエストを自動的に作成します。この自動化されたワークフローは、DevOpsの生産性を向上させ、すべての本番環境に一貫して改善策を適用できるようにします。
• リスクの優先順位付け：Apolicyは、アプリケーションコンテキストを深く理解しており、これを活用して、構成エラーの影響を受ける本番インスタンスや影響を受けるアプリケーションにマッピングします。これにより、セキュリティおよびコンプライアンスチームは、リスクに基づいて問題に優先順位を付け、アラートの数を減らすことができます。
• OPAを使ったコードとしてのポリシー： Apolicyは、FalcoがランタイムポリシーのOSS標準となっているように、コンフィグレーションポリシーのOSS標準となっているOPAを活用しています。Apolicyは、コンプライアンスとガバナンスを自動化するための包括的なアウトオブザボックス（OOB）ポリシーのセットを持っており、複数のIAC、Kubernetes、クラウド環境に適用して実施することで、組織全体のスケーラビリティと一貫性を実現します。

ApolicyのIACセキュリティは、当社のKSPM（Kubernetes Security Posture Management）およびCSPM（Cloud Security Posture Management）製品を強化し、イメージスキャン、ランタイムの可視化、脅威の検知と対応、規制遵守など、当社がSecure DevOpsプラットフォームで対応する他のユースケースを補完します。

2020年は、「クラウドに懐疑的」な企業にとっても、コンテナやクラウドの導入が優先されるようになるという、画期的な出来事がありました。それに伴い、最新のクラウドアプリケーションを導入する際の最大の障壁である、コンテナとクラウドのセキュリティリスクに対処することが急務となっています。このニーズに対応するには、ソースから本番までの可視性、セキュリティ、コンプライアンスを確保する Secure DevOpsアプローチが必要です。お客様が自信を持って最新のクラウドアプリケーションを実行できるように、この信念が私たちの原動力となり、急速なペースで革新していきたいと考えています。

Sysdigに関するお問い合わせはこちらから