Google Cloudとコンテナの継続的なセキュリティ
Sysdigのルーツは、全世界で使われているネットワークアナライザであるWiresharkに由来しています。
創業者のLorisはWiresharkの共同制作者でもあります。 クラウドとコンテナがインフラストラクチャーでのビヘイビアを見て、企業はアプリケーションを保護のを行いつつ、モニターするする新しい方法が必要であると考えました。Sysdigは、kubernetesやwiresharkのように、オープンソースが基礎となっています。 私たちのオープンソースは、とても人気があり、何百万ものダウンロードがあります。私たちは、RedHat、Docker、AWS、Googleなどのパートナーと深く統合しています。そして、我々の、数多くのエンタープライズ顧客がすべての業界にまたがっています。
従来のモノリシックなアーキテクチャーは、根本的に進化を遂げています。
Docker、kubernetes、および基盤となるクラウドインフラストラクチャのようなテクノロジーにより、企業は、マイクロサービスを活用してより複雑なアプリケーションを提供するクラウドネイティブアーキテクチャに移行しており、開発者はより迅速、かつ、より独立して作業することができます。
この傾向は非常に強力です。実際、コンテナの採用は以前の経験とは異なっています。
コンテナやマイクロサービスのように素晴らしい仕組みですが、これらの新しい利点を生かすために企業が解決しなければならない新しい課題が数多くあります。
コンテナ - 開発者にとっては便利ですが、「ブラックボックス」的な性質により、本番環境でのモニタリングとトラブルシューティングが難しくなります
マイクロサービス - ダイナミックで短命である何百ものコンテナで構成され、アプリケーションを稼働させるための全く新しいモデルです。単に「どのようにアプリケーションを実行しているか」を知ろうとするだけにもかかわらず、把握するのが非常に困難です。
マルチクラウド - プライベートでもパブリックでも、複数のクラウドにわたって一貫したセキュリティとモニタリングの仕組みを提供することはますます困難になっています。
これらのプラクティスがなければ、開発者はプラットフォームの利点を実際に利用することはできません。すなわち、コンテナは、分散型のエンタープライズアプリケーションに対して、視認性、分析、および、セキュリティに関して複雑となっています。
私たちはこのような事象を数多くの顧客環境で見てきました。これは単なる例に過ぎません。これらの内、いくつかについては後で詳しく説明しますが、これらの課題は、現実のものであり、多くの場所でそれらを実際に生じていると感じていることを伝えたいと思います。これらの問題の解決方法について話していきましょう!
Sysdigのビジョンは、組織全体が1つのプラットフォームを通じてより安全で信頼性の高いソフトウェアを作成して運用できるようにすることです。
ビルド:開発者がセキュリティ要件を満たす高性能コードを作成できるようにする
実行:プラットフォームオペレータがパフォーマンス、セキュリティ違反、コンプライアンス要件を簡単に追跡し、ゼロデイ脅威を阻止できるようにする
対応:インシデントへの平均応答時間(MTTR)を短縮し、監査の要件を満たすために、アプリケーション、コンテナ、およびインフラストラクチャに必要な詳細なデータを提供します。
デジタルエンタープライズジャーナルによれば、セキュリティと監視を統合した2,500以上の企業では、単一のプラットフォームでパフォーマンスとセキュリティを管理することで、問題の解決率が40%以上向上すると報告されています。組織はIT監視や運用の投資を最大限に活用できるだけでなく、専門セキュリティソリューションが提供していない独自の洞察を得ることができます。さらに、デジタル変換の作業におけるセキュリティの重要性が増したため、同じプロセスの一部としてIT環境のセキュリティが確保されていれば、IT運用ソリューションに対する投資を正当化することが容易になりました。大半の企業は、セキュリティと監視を組み合わせることで、問題をより迅速に解決できる独自の洞察を得ることができると報告しています。彼らは、これらのソリューションを実装するコストを削減しながらそうします。また、リアルタイムの脅威、データの豊富さ、セキュリティと運用の連携に関する洞察を深めています。
我々の大きな技術革新は、コンテナ化されたマイクロサービスの安全とモニターに必要な情報を得る事のできる新しい方法を考案しました
クラウドでは、情報を収集するための典型的な方法(ネットワークへのタッピングなど)はもはや存在しません。 CTOのLorisは、ホスト内のすべてがカーネルを通じて情報を渡していることに気付きました。カーネルは実際にはクラウド内のスパンポートであり、そこからすべてのホストのすべての単一システムコールを収集することができます。このデータソースは信じられないほど豊かですが、リアルタイムでもあります。
我々の製品は、クラウドネイティブの主要なオープンソースプロジェクトのいくつかを組み合わせて構築しています。弊社は、コア機能を活用しながら、エンタープライズクラスの安全で管理しやすい製品を開発しています。
プロメテウス -クラウドネイティブプロジェクトにおけるモニタリング
Sysdig Inspect - コンテナのトラブルシューティングとフォレンジック
Falco - コンテナのRun-time セキュリティ
Anchore - イメージスキャンと脆弱性管理
より多くの背景を説明するために、いくつかのお客様の例を挙げてみます。
トップ3インベストメント・バンク - インフラをモニターするためSysdigを活用しています。以前は、30人以上の社内チームで運用していましたが、革新に対応して行くことが困難となりました。そのために、彼らは、現在、10万以上のホストにおいてSysdigを活用しています。大規模に活用している主な理由は、Sysdigがパフォーマンスモニタリングとセキュリティモニタリングの両方のデータを提供しつつ、許容範囲を超えてしまう理由を理解するための深いフォレンジックも実現できることでした。
Experian - OpenShiftプラットフォームの保護のためにSysdigを活用しています。 Run-timeセキュリティとユーザーアクティビティの詳細な監査を実行する機能を組み合わせることで、プラットフォーム担当VPがOpenShiftをプロダクション環境で利用する決断に至りました。また、彼らは、開発者のセキュリティとモニタリングを単一の基盤プラットフォームでホストごとに1つの計測ポイントだけで実現できる事を高く評価しています。
Comcast -クラウドDVRサービスなど、彼らの最新のサービスにおいてSysdigはコムキャストと協力してきました。Sysdigは、開発者が探していた深いkubernetes統合を、数万のコンテナを持つ60以上のデータセンターで動作する規模で提供できる唯一の企業でした。 開発者は、kubernetesと統合され、かつ、数万のコンテナを稼働させる60以上のデータセンター規模で動作する仕組みを探していました。Sysdigが唯一の企業でした。 Comcastは、Sysdigのディープな計測機能も活用する事でアプリケーションをモニターするだけでなく、カーネル内の問題を解決する事も実現しました。
Shopify - コンプライアンスをモニターし、ショッピングプラットフォームを安全に保つためのポリシーを執行するソリューションを探していました。Sysdigのセキュリティとモニターを統合するという、より多くの機能と能力を少ない管理労力で実現できる仕組みを戦略的に採用しました。
次に「Container vision」について説明していきます。「Container vision」とは、ブラックボックスのコンテナで何が起こっているかを見るためのユニークな仕組みです。 どのように動くのか説明します。
•ホストがいくつかのコンテナとプロセスを実行しているとします。
•Sysdigエージェントは、コンテナ(またはコンテナ化されていない環境のプロセス)として展開されます。 ホストごとに1つのエージェントを実行します。ポッド毎、エージェント毎、コンテナ毎にコードを動かしません。これは私たちにとって大きな差別化要因となっています。
•Sysdigのエージェントは、非常に低いオーバーヘッドですべてのシステムコールをノンブロッキングで読み取りのみを行うカーネルモジュールでデプロイします
•これらのシステムコールから、必要なすべてのデータ(ホストメトリック、ネットワークメトリック、カスタムアプリケーションメトリック、セキュリティイベント)が抽出されます
•これらのデータはすべてエージェントに送信され、Sysdigプラットフォーム(オンサイトまたはSaaS)に送信されます。
•エージェントは、セキュリティイベントに基づいてポリシーとアクションを執行することもできます。
一言で言うと、「Container vision」は、単一の計測点からすべてを確認し、環境を保護することができます。
ここで、実際のSysdig Monitorのデモをご覧ください。
次にSysdig Secureのデモをご覧ください。
コンテナの視点においても必要なメトリックとイベントを取得する事ができますが、コンテナとサービスが多数のホストやクラウドに分散して展開しつつ、多くのコンテナで構成している状況のすべて理解することは困難です。
ここで、「Service Vision」が活躍します。
オーケストレーターとクラウドに関連するすべての関連メタデータを取得し、このメタデータを使用してコンテナデータを補強させることで、どのようなデータの側面に関する難しい質問にすぐに答えることができます。
サービスはどのように行われていますか? データセンターはどのように機能していますか? Podは動いていますか?
もし、フレキシブルでないデータモデルを使用している場合は、希望する方法でプラットフォームを保護・モニターすることは困難です。
Sysdig セキュアとSysdig モニターは、クラウドネイティブインテリジェンス基盤として構築されています。このソリューションがいかに強力で差別化されているかについて中身の詳細を説明していきたいと思います。
御社の環境を想像してみてください。アプリケーションは、ホスト上のコンテナで実行されます。その環境は、プライベートクラウド、AWS、Azureなどさまざまなクラウドの中にあるかもしれません。そして、あなたはKubernetes、OpenShiftなどのオーケストレーターを実行しているかもしれません。Sysdigはコンテナビジョンとサービスビジョンの2つのコアテクノロジーを適用して、必要な情報を収集します。Sysdigはすべての情報を取得し、バックエンドに格納します。これは、オンプレミスのソフトウェアとして、または弊社が運営するSaaSサービスとして利用することができます。双方とも機能的に同じ製品です。ユースケースに応じて異なるユーザーインターフェース毎にデータをレイヤーします。 Sysdig モニター、Sysdig セキュア、およびSysdig インスペクトは、すべて同じデータを使用しますが、収集する情報とのやり取りを簡素化するために、さまざまな方法でアプローチします。
