Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2019年4月9日にSysdigのEric Carterが投稿したブログ(https://sysdig.com/blog/visibility-and-security-for-google-clouds-anthos/)を元に日本語に翻訳・再構成した内容となっております。
本日、Sysdigは、Google CloudのAnthosのサポートを発表しました。オンプレミスのデータセンターとクラウドにおけるGoogle CloudのユーザーがSysdig Cloud-Native Visibility and Security プラットフォームを存分に活用いただけます。Google Kubernetes Engine(GKE)とGKE On-Premを搭載したAnthosは、以前は、Cloud Services Platformとして知られていたもので、ユーザーはKubernetesによって強化された最新のコンテナーアプリケーションを構築・管理する事が可能となります。Googleの業界をリードするオープンソーステクノロジが含まれており、AWSやAzureを含むサードパーティのクラウドでもGoogle Cloudテクノロジーを利用できるようになりました。 Sysdigは、Anthos上で実行されているハイブリッドなクラウドネイティブアプリケーションのリスク、健全性、およびパフォーマンスの状況を統一されたビューで提供します。
Anthosのサポートに加えて、Sysdig Platform、Sysdig Monitor、Sysdig Secureなどのソリューションが、オープンソースプロジェクトのFalcoとともに、Google Cloud Platform(GCP)マーケットプレースで紹介されていることも発表しました。 その結果、Google Kubernetes Engine(GKE)とAnthosを使用している企業がSysdigを簡単に使い始める事ができるようになりました。
Sysdigは、GoogleクラウドのAnthosのローンチパートナーとして、ハイブリッド環境とマルチクラウド環境で、可視性、セキュリティ、およびフォレンジックの機能を事前に検証を実施。 Google Cloud、プライベートクラウド、またはあらゆるクラウドの組み合わせで実行しているかどうかにかかわらず、AnthosのKubernetesを使用して、開発から運用までの運用上のユースケースに対処するための一連のアプローチで貢献します。
以下は、Anthosユーザーがクラウド上で安全で信頼できるコンテナを操作するのにSysdigがお役立ついくつかの方法のスナップショットです。
クラウドネイティブへの移行で最も成功している企業は、アプリケーションセキュリティをデベロッパーに近づけています。 Sysdigを使用すると、デベロッパーチームは、ビルドが完了する前、またはコンテナがAnthosにデプロイメントされる前に、セキュリティ問題を回避および解決するための堅牢な脆弱性管理を実装できます。 これにより、ビルドパイプライン内のイメージ、コンテナレジストリに格納されているイメージ、および本番環境で実行されているイメージのリスクとコンプライアンスステータスの認識を高めることができます。
アプリケーションは複数のマイクロサービスで構成されている可能性があり、それらはAnthos上で実行されている数十または数百のコンテナーで構成されている可能性があります。 その結果、特定のコンテナーのサービス応答時間またはパフォーマンスをモニターするという単純な作業は困難になります。 Sysdigはクラウドネイティブアプリケーション用に設計されており、マイクロサービスの健全性とパフォーマンスの監視を劇的に簡素化するために必要な洞察とコントロールを提供します。 ホスト、コンテナ、ネットワークのメトリクス、Prometheus、JMX、StatsDなどのカスタムメトリクス、およびオーケストレーションイベントを含むアプリケーションメトリクスを含むフルスタックのテレメトリを使用すると、マイクロサービスとインフラストラクチャの健全性とパフォーマンスを360度把握できます。
Anthosは、コンテナ化されたアプリケーションとマイクロサービスのデプロイメント、スケーリング、管理を簡素化します。 ただし、パフォーマンスの低下、デプロイメントの失敗、接続エラーなどの根本的な問題を識別して解決するには、完全なKubernetesコンテキストで、環境全体から詳細な情報を収集して視覚化する機能が必要です。 デベロッパーチームと運用チームは、SysdigにおけるKubernetesモニタリングを活用する事で、潜在的な問題やAnthos上のKubernetesに関する問題を事前に特定して解決するために必要なツールを用いて、リアルタイムの健全性やパフォーマンスのデータを表示したり、環境内のあらゆるコンポーネントの状態を洞察することができます。
セキュリティチームとDevSecOpsは、Kubernetesとコンテナインフラストラクチャの監査とコンプライアンスの要件をうまく管理するのに苦労しています。 Sysdigは、Anthosのユーザが、ホスト、コンテナー、およびマイクロサービスにわたるすべての活動記録を利用し、複雑なコンテナー監査およびコンテナーコンプライアンスを支援します。 さらに、コンプライアンススタンダートの遵守を自動的に実施するのに役立つ仕組みも提供しています。
コンテナーのセキュリティは、コンテナーとKubernetesを採用しているすべての組織にとって最優先事項です。 Sysdig独自のシステムコールレベルの計装とランタイムセキュリティにより、Anthosユーザーは疑わしい活動を検出、警告、ブロックすることができます。 具体的には、これには予期しない外部への接続、異常なファイルアクセス、または、本番環境においてビジネスを阻害する脅威をもたらす不正なプロセスの振る舞いが含まれます。
本番環境でのコンテナの状態と性能を確認できることは非常に重要です。 しかし、問題に気がついても、どうすれば良いのか?ほとんどの管理者は、何かが間違っているのは把握できるのですが、なぜそのようになるのか理由がわからないことを度々経験しているのではないでしょうか? Sysdigの自動化されたアラートおよびビルトインシステムコールキャプチャ機能は、システムイベント発生時からのカーネルレベルおよびOSイベントをすべて記録します。 システム、ネットワーク、アプリケーション、ユーザー、およびファイルのアクティビティなど、データが豊富なコンテキスト内システムキャプチャによって、必要なすべてのデータが得られます。これにより、イベントまたはポリシー違反からすばやくドリルダウンして、コンテナのトラブルシューティングおよびコンテナフォレンジックを行う事ができます。
