Clarizen社:EKS環境でアプリを保護 #AquaSecurity #セキュリティ #事例 #EKS #Kubernetes #AWS
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2020年1月1日に公開された「 Clarizen Secures Kubernetes-based Cloud Native Apps on AWS 」の日本語翻訳です。
顧客概要
Clarizen は時間を節約したい人々や、会社間の関与を重要視する組織向けに設計された共同作業管理ソリューションです。 Clarizen を使用すると組織は融通を利かせた働き方を実現することができ、すべてのワークストリームをリアルタイムで可視化できます。これによりチームは重要なことに集中し結果をより迅速に提供することで、企業の目標や顧客の期待を上回ることができます。同社は世界中に何千もの顧客を持ち、共同プロジェクト管理のリーダーとして広く認められています。
挑戦:EKS 環境におけるアプリの保護
Clarizen 社の代表的なSaaSソリューションである Clarizen One に加えて、 Clarizen Go を開発しました。Clarizen Go は共同作業管理のための、より機敏で軽量な SaaS ソリューションです。
Clarizen Go はコンテナを使用したクラウドネイティブ環境にて開発されました。Clarizen Go は、Amazon の Elastic Kubernetes Service(EKS)を使用して実行・管理されています。Clarizen Go のコンテナイメージは Amazon の Elastic Container Registry(ECR)に保持しています。アジャイル開発パイプラインは、継続的な統合のために Bitbucket と Jenkins を使用して管理していました。
Clarizen Go は顧客の機密データを処理するため、SOC2 や GDPR などのコンプライアンス要件を順守しクラス最高の可視性とセキュリティ制御を備えていることが最大の関心事でした。開発のアジャイル性と幅広い使用パターンのため、Clarizen 社の開発チームは AWS の開発パイプラインとランタイム環境の両方を保護し、問題をできるだけ早く検出し、本番環境におけるリスクが発生する前に軽減することを望んでいました。
Clarizen 社のクラウドセキュリティアーキテクトである Yuri Livshitz 氏は次のように述べています。「私たちはパイプラインの脆弱性やその他の問題が発生したときに、管理できるようにしたかったのです」
ソリューション
Clarizen 社は主なクラウドネイティブセキュリティソリューションの市場を調査し、チームの要件、開発から本番までのライフサイクル全体を保護する能力、高度なセキュリティ機能セット、幅広いプラットフォームサポートに対応する Aqua を選択しました。
Yuri 氏は次のように述べています:
「当社の主なセキュリティ目標はデータ侵害の防止です。そのため、予防措置と最小特権の実施に焦点を合わせて、環境を厳しく制御する必要がありました。この結果、不正なアクセスやアクティビティを簡単に検出できます」
Clarizen 社は Aqua を使用してベストプラクティスに従って Clarizen Go を迅速に保護し、スタック全体のセキュリティ制御を確立しました。
- Jenkins のAquaプラグインを利用することでイメージビルドをスキャンし、脆弱性やマルウェアがコンテナイメージに侵入するのを防ぎ、開発者に迅速な修復のための即時フィードバックを提供
- Image Assurance Policy を利用しすることで、セキュリティおよびコンプライアンスの基準を満たさないイメージが本番環境にデプロイされることを防止
- シークレット(秘密鍵、トークン)ライフサイクル管理をコンテナに拡張し、ローテーションとシークレット管理のベストプラクティスを維持しながら実行中のコンテナにシークレットを安全に配布
- Kubernetes とコンテナランタイム環境を監視することで疑わしい動作を探し、コンテナと元のイメージの不変性を担保
Yuri 氏は次のように述べています:
「Aquaで最も気に入ったものの1つとして、幅広いプラットフォームのサポートでした。これにより将来の投資を保証し、アプリケーションを実行する方法と場所を柔軟に選択できます」
AWS サービスの利用
Clarizen 社は Amazon EKS で Clarizen Go アプリケーションを実行し、コンテナイメージは Amazon ECR に保存・管理しています。他にも AWS S3・AWS CloudWatch・AWS ALBなどのサービスを活用しています。
Aquaを利用しはじめたことによるメリット
Aqua プラットフォームを使用することにより Clarizen 社はコンテナベースの開発パイプラインを保護し、自動化を活用して不必要なリスクを招くことなくアジャイル開発のメリットを得ることができました。さらに Kubernetes ベースの本番環境における可視性を獲得し、セキュリティ問題の発生に対する監視・対処も実現しています。
- 開発サイクルの早い段階で問題を特定し、迅速な修復を確実にすることで本番環境でのセキュリティインシデントを回避
- コンテナ化された環境への不正アクセスの防止と監視
- セキュリティとコンプライアンスのベストプラクティスが継続的に適用されるようにする
- 機密性の高い顧客データの保護、リアルタイムでの侵害の特定と防止