Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2019年12月2日にChief Technology Officer at Global Commerce & Information, Inc. のJosh Ziman氏がゲストとして投稿したブログ(https://sysdig.com/blog/modern-compliance/)を元に日本語に翻訳・再構成した内容となっております。
本ブログは、連邦政府環境におけるコンプライアンス要件管理実装における、Global Commerce & InformationのCTOであるJosh Zimanによるゲスト投稿です。NIST SP 800-53は、コンテナおよびOpenshiftベースのインフラストラクチャでSI-4およびFedRAMPをコントロールします。 ジョシュは、連邦政府の従業員およびコントラクターとして、DHS本部、CBP、USCIS、TSA、IRS、およびSSAで革新的なソリューションを開発およびサポートしてきました。変化するアプリケーションの状況に対応するために現代のセキュリティプラクティスを推進してきた彼の長年の経験により、彼とGlobal CIはセキュリティコンプライアンスの目標を達成するリーダーとして独自の地位を築いてきました。 彼と彼のチームは革新的なセキュリティアーキテクチャを活用して、ミッションの速度を維持しながら、公共および民間部門の目標を達成しています。JoshとGlobal CIの詳細については、www.globalci.comをご覧ください。
1日の内のAuthorization to Operate(ATO)と継続的な許可は、コンプライアンスの涅槃です。 ATOは、稼働中のビジネスデータを使用して運用環境で実行されているシステムに関連するリスクを受け入れるという公認の公式声明です。リスクの決定に必要なすべての情報が手元にあり、意思決定者がそれを利用できるという考えは、すべてのコンプライアンスプログラムが達成しようとしていることです。米国国立標準技術研究所(NIST)は、NIST Special Publication 800-53 Revision 4で、中程度のベースラインで261の推奨されるコントロールの形で、連邦システムのセキュリティに関するガイダンスを提供しています。連邦政府のリスクと承認プログラム(FedRAMP)、クラウドセキュリティガイダンスは、追加のコントロールは、最大326となっています。これらのドキュメントの目標は、システム所有者がリスクにさらされるのを減らすことです。NISTおよびFedRAMPの目標を達成するために使用される方法を評価することにより、繰り返し行われる独立した検証と検証(IV&V)の取り組みにより、このリスク情報を収集しようとしますが、それらの評価の一連を実行するのにかかる時間は非常にコストがかかり、時間通りにアプリケーションを配信できません。キーは、それらのシステムに存在する異種データを、より簡単に利用可能なプレゼンテーションレイヤーに表示できる必要があります。これに加えて、厳格なポリシーの施行を維持しながら、柔軟な実装、多様なインフラストラクチャ、および膨大なユーザーエクスペリエンスを可能にする流動的な環境でデータを収集するという課題があります。
NIST SP 800-53 Rev. 4コントロールSI-4を考慮する。 SI-4 states:
組織: a. 情報システムをモニタリングして以下を検出します。 1. [アサイメント:組織定義のモニタリング目標]に基づく攻撃と潜在的な攻撃の指標。そして 2.不正なローカル接続、ネットワーク接続、およびリモート接続 b. [アサイメント:組織定義の手法と方法]を通じて情報システムの不正使用を特定します。 c. モニタリングデバイスをデプロイメントします。 1.情報システム内で戦略的に組織が決定した重要な情報を収集する。そして 2.システム内のアドホックロケーションで、組織にとって関心のある特定のタイプのトランザクションを追跡します。 d. 侵入監視ツールから取得した情報を、不正なアクセス、変更、削除から保護します。 e. 法執行機関の情報、インテリジェンス情報、またはその他の信頼できる情報源に基づいて、組織の運用および資産、個人、他の組織、または国家に対するリスクの増加の兆候がある場合は常に、情報システム監視活動のレベルを高めます。 f. 適用される連邦法、大統領令、指令、ポリシー、または規制に従って情報システムの監視活動に関する法的意見を取得します。そして g. [アサイメント:組織定義の情報システムモニタリング情報]を[アサイメント:組織定義の人員または役割]に提供します[選択(1つ以上):必要に応じて。 [アサイメント:組織定義の頻度]]
SI-4は、多くの場合、継承されたコントロールであるため、困難です。 コントロールブローカーによってすべてのシステムに提供されるハイレベルコントロール。 これは、このコントロールの正しいアプローチですが、多くの場合、その価値を失うほど高いレベルで実装されます。 攻撃指標は非常に広範囲である必要があるため、すべてのシステムが型に適合しているため、システムには使用上の制約があり、努力やビジネス目標を妨げる可能性があります。セキュリティは、すべてのソリューションに適合するサイズではありません。Sysdig Secure DevOps Platformの一部であるSysdig Secureのようなツールが重要になるのはそのためです。
ビジネスだけでなく、特定のコンテナのニーズを満たすポリシーを利用することは、世界を変える可能性があります。Sysdig Secureおよび付属のアウトオフボックスなルール、および/または顧客が作成したルールを利用する事により、エフェメラルなコンテナの監視およびコンテナのアクティビティのフォレンジック分析を可能にするマイクロポリシーを使用できます。
コンテナ固有のセキュリティポリシーアプローチを設計することは管理上の悪夢のように思えるかもしれませんが、Sysdig Secureと含まれているルールによって簡単になります。増え続ける必要性のあるタグを利用して、コンテナデプロイメントパイプラインの一部としてモニタリングポリシーを添付できます。このアプローチにより、コンテナに関するSI-4の目標を達成できます。システムセキュリティ計画では、モニタリングソリューションとしてSysdig Secureを使用することを明記し、モニタリング用に実装されたタグをリストします。コントロールプロバイダーは、Falcoルールライブラリを使用または変更するか、Sysdig Secureルールエディターを使用して継承するためのルールを作成します。 例えば:
NIST 800-53 Rev. 4 SI-4に合わせて、コンテナ内のターミナルシェルおよび予期しないインバウンド接続ソースを検出およびアラートさせるために、Sysdig Secureに実装されているFalcoルールを使用した例です。
Sysdig Secure DevOps Platformに含まれるアウトオブボックスなルールまたはカスタム管理ルールを構成管理ソリューションの一部として扱うことにより、コンテナモニタリング自体が構成管理ソリューションの一部になります。この自動化されたモニタリングと既知のイメージを用いて構築を達成する事で、コンプライアンスプログラムがリスクを確立し始めるでしょう。Sysdigのコンテナベースライン機能のレイヤーと組織は、コンテナがプロダクションに到達する前に既知のリスク基準を確立できます。Sysdigの機能とコンテナライフサイクルに焦点を合わせることにより、組織はビルドの最中およびランタイム時にコンプライアンスを検証し、ポリシーを実施できます。その柔軟性により、システムは同時に堅固で柔軟になります。 事前に定義されたルールに従う必要があるという点では厳格ですが、コンテナの機能に合わせてこれらのルールをカスタマイズできるという点では柔軟性があります。
Sysdig Secure DevOps Platformを利用して、組織はマイクロポリシーを定義し、ランタイムプロファイリングに対してこれらのポリシーをテストし、これらのポリシーを使用するためにデプロイできます。これらのマイクロポリシーは、より角度を変えたアプローチを可能にし、デプロイメントと運用を妨げるのではなく、最新のアーキテクチャに必要な柔軟性をサポートします。Sysdigソリューションを使用するセキュリティチームは、ポリシーのデプロイメントからポリシーのモニタリングと評価までの恩恵を得られます。
このレベルの機能とサポートを採用することを決定した組織は、ハイレベルと非常にローレベルの両方の政策でポリシーの開発に努力を集中する必要があります。NISTには、NIST SP 800-190に基づくコンテナ固有の情報があります。 Sysdigには、組織がSysdig Secureを使用してNIST SP 800-190アプリケーションコンテナーセキュリティのコンプライアンスを達成するのを支援するための詳細情報があります。
Global Commerce&Information(Global CI)は、ミッションの目標を理解し、それらの目標をサポートするためのプログラムポリシーを開発し、安全な開発と運用を確保するためにこれらのポリシーを体系化するためにセキュリティ組織と協力して30年近くを費やしてきました。グローバルCIの実践者が発見したのは、システムのあらゆる側面を網羅し、ビジネスに影響を与えず、セキュリティが満たされるようにする必要がある大きな途方もないタスクのように見えるため、システム所有者がポリシーの定義に苦労することが多いことです。グローバルCIセキュリティおよびアドバイザリーサービスは、エグゼクティブリーダーシップから技術実装までのポリシーの開発をサポートします。ポリシーライフサイクルアプローチを活用して、グローバルCIは、ポリシーの目的を理解し、ドキュメントを作成し、技術的な実施を構成し、結果として生じるビジネスインパクトをテストして、運用をサポートおよび保護するポリシーを確認します。グローバルCIは、マイクロポリシーの概念からアプローチを導き出し、広範な高レベルのポリシーが最低レベルで満たされるようにします。グローバルCIサービスとSysdigツールの組み合わせを利用することで、組織は継続的な認証と迅速なATOに向けて有意義なステップを開始できます。
Josh Zimanは、Global Commerce & InformationのCTOです。 彼は、連邦政府の従業員およびコントラクターとして、DHS本部、CBP、USCIS、TSA、IRS、およびSSAで革新的なソリューションを開発およびサポートしてきました。変化するアプリケーションの状況に対応するために現代のセキュリティプラクティスを推進してきた彼の長年の経験により、彼とGlobal CIはセキュリティコンプライアンスの目標を達成するリーダーとして独自の地位を築いてきました。彼と彼のチームは革新的なセキュリティアーキテクチャを活用して、ミッションの速度を維持しながら、公共および民間部門の目標を達成しています。 JoshとGlobal CIの詳細については、www.globalci.comをご覧ください。
NIST 800-190 リファレンス
https://sysdig.com/resources/whitepapers/nist-checklist/
Redhat Openshift セキュリティガイド
https://sysdig.com/resources/papers/redhat-openshift-security-guide/
Sysdig Platformの概要
https://dig.sysdig.com/c/pf-sysdig-platform-brief
Falcoに関するドキュメント
