本文の内容は、2019年6月25日にSysdigのPawan Shankarが投稿したブログ(https://sysdig.com/blog/aws-security-hub/)を元に日本語に翻訳・再構成した内容となっております。
本日、SysdigはAWS Security Hubとの統合を発表しました。 AWS Security Hubは、Amazon GuardDuty、Amazon Inspector、およびSysdigが既に参加しているAWS Partner Network(APN)セキュリティソリューションなどの複数のAWSサービスからのアラートと検出結果を統合します。 この一元化された仕組みで、優先度の高いセキュリティアラートとAWSアカウント全体のコンプライアンスステータスを包括的に把握できます。
SysdigとAWS Security Hubを統合することの利点は以下のとおりです。
- ランタイム分析に基づく継続的なセキュリティ:システムコールを活用することで、Sysdigはコンテナの詳細な可視性を提供できます。これは、デプロイメント後の疑わしいアクティビティの検出、警告、およびブロックに使用できます。
- AWSでのコンテナのセキュリティコンプライアンスと監査:Sysdig Secureの結果はAWS Security Hubで直接表示できるため、DevSecOps担当者は別のシステムにログインしなくても簡単にデプロイ設定、コンテナイベントを参照できます。
- より良い意思決定のためのフォレンジックおよび事後分析を網羅するすべてのもの。
Sysdigは、コマンド、プロセス、ネットワーク、およびファイルシステムの操作を含むすべてのアクティビティを記録し、攻撃後の事後分析とフォレンジック、および攻撃前のアクティビティの記録を可能にします。
ランタイムセキュリティイベントをAWS Security Hubに送信する
SysdigとAWSの統合はセキュリティインシデントや、AWS、EKS、ECSからの関連するメタデータでそれらを強化し、Security Hubコンソールに転送します。また、Sysdig Secureで自動的に作成および設定されたWebフック通知を介してイベントを非同期的に受信する事もできますが、Secure APIをポーリングして集約されたイベントを定期的に送信するように設定することもできます。
統合のステップを見ていきましょう:
1. イベントをセキュリティハブにプッシュする
Sysdig Secure内では、イベントをAWS Security Hubに簡単に転送できます。設定には、AWSアカウント/アクセスIDとアクセスキーが必要です。設定が完了すると、実行時にイベントの転送が可能になります。
2. AWSアカウントでSysdig Secureからセキュリティの調査結果を表示する
転送を設定したら、コンソール内でセキュリティイベントのグループを簡単に視覚化できます。 調査結果セクションには、一定期間にインフラストラクチャ全体で発生したさまざまなセキュリティイベントがまとめられています。 詳細情報をクリックすると、EC2、ECS、およびEKS上で実行されているアプリケーションからランタイムセキュリティアラートにアクセスできます。
3. Sysdig Secureで違反の詳細を表示する
セキュリティチームはSysdig SecureのGUIへ戻って、コンテナフォレンジックの監査と事後分析のためのコマンド等の詳細を調べることができます。これにより、チームは攻撃者がどのようにしてコンテナに侵入したのかを調べ、実行された内容や盗まれたデータを知ることができます。
結論
この統合により、Sysdigは、AWS Security Hubコンソールへのアラートとともに、豊富な環境データ、可視性、およびセキュリティの調査結果を提供し、企業が一箇所から環境の全体像を簡単に確認できるようにします。 当社の共同のお客様は、統合製品の上に構築されたより信頼性が高く、より安全なソフトウェアの利点を享受しています。
SysdigとAWSは、深く長期にわたるパートナーシップを結んでいます。両社は、お客様が効果的かつ安全にクラウドネイティブアプリケーションに迅速に移行できるようにするという共通の目標を共有しています。 Sysdigは、Amazon Elastic Container Service(ECS)、Amazon Elastic Container Service for Kubernetes(EKS)、AWS App Meshなど、人気のあるAWSサービスのセキュリティ保護と監視を支援します。 詳細についてはhttps://sysdig.com/partners/aws/をご覧ください。