2021年に注目すべきクラウドネイティブセキュリティ7つのトレンド #aqua #コンテナ #セキュリティ
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2021年3月31日に公開された「 Seven Cloud Native Security Trends to Watch in 2021 」の日本語翻訳です。
2021年に注目すべきクラウドネイティブセキュリティ7つのトレンド
クラウドネイティブセキュリティは、活気にあふれおり、変化の激しい分野です。様々な業界の企業がクラウドネイティブツールを使ってデジタルイニシアティブを加速させていく中で、セキュリティはこれまで以上に重要となってきており、新たなトレンドが生まれてくるのは必至です。ここでは、2021年のクラウドネイティブセキュリティを形成する7つのトレンドをご紹介します。
より洗練された攻撃
Kubernetes を悪用するための協調的かつ標的化された取り組みは、これまでよりもさらに進んだものになるでしょう。2020 年の終わり頃には、API サーバ、Pod、kubelet API、Docker API、Docker.sock の脆弱性など、特にKubernetes クラスタの構成上の弱点を狙った攻撃が見られるようになりました。
今年は Kubernetes の利用がますます広まる中、設定ミスを利用した攻撃だけでなく、rootkit やマルウェアなど、より高度なツールを利用した攻撃の実行が予想されます。2021 年には、攻撃者が攻撃手法のレベルを上げ続ける中で、効果的なセキュリティ対策を開発し続けることがこれまで以上に重要となるでしょう。
サプライチェーン攻撃の高いリスク
開発者は、より迅速な開発のために、公開されているライブラリやサードパーティのベースイメージを利用することがよくあります。しかし攻撃者は、これらの自由に利用できるリソースに独自の悪意のあるコードを埋め込み、人気のあるプロジェクトを装うことが多々見受けられます。それらのサードパーティ製コンポーネントの1つが、隠れたバックドアや侵入型マルウェアに感染するリスクは、2021 年も引き続き増加すると考えられます。
Aqua 社の Dynamic Threat Analysis のようなソリューションは、このような種類の脅威に対する保護を可能にし、サンドボックス環境内でコンテナイメージを実行して本番前にランタイムの動作を検査します。
eBPFの普及
eBPF は、クラウドネイティブセキュリティモニタリングの標準的な基盤となることが期待されています。eBPF は Linux カーネルをプログラム可能にする技術で、カーネル内で高速かつカスタマイズ可能なツールの作成やチェックを実行できます。
Aqua 社のオープンソースの Tracee プロジェクトでは、eBPF を使用してワークロードが予期せぬ動作をしていることを示すシステムイベントや一連のイベントを検出します(悪意のある動作を検出できます)。
マルチクラウド戦略への適応
クラウドプラットフォームプロバイダーは、セキュリティやコストに関するさまざまな理由から、マルチクラウド戦略がますます普及している世界に適応し続けます。
クラウドプロバイダーは、専門的なサービス、地域的な利用可用性、価格の面で差別化を図っています。つまりそれぞれのクラウドはそれぞれ独自の世界があり、管理コンソール、スクリプト言語、API、コマンドラインの構文、用語など、さまざまな点で差別化が図られています。このように、マルチクラウドは強力な力を持っていますが、複数のプロバイダーに対応するにはコストがかかります。
クラウドプロバイダーは、IT 担当者がスタンドアローンコンピューティングよりもクラウド管理に精通していることを認識し、顧客が完全に離れてしまわないように、コンピューティング事業の収益の一部を還元することで対応しています。AWS Outposts、Azure Stack、Google Anthos などのサービスは、クラウド事業者がプラットフォームの使用料を請求して管理している限り、顧客がインフラをどこで運用するかの選択肢を増やせるように設計されています。
プラットフォームチームに特化
企業のクラウドネイティブ戦略に完全に焦点を合わせたプラットフォームチームが一般的になるでしょう。クラウドネイティブ環境に対する攻撃は複雑であるため、これらのプラットフォームチームは、CISO や SOC の下にいる経験豊富な実務者で構成されます。
プラットフォームチームの設立により、企業独自の価値提案を推進するビジネスの中核となるアプリケーションロジックに対して、開発者を専念させる環境が整います。アプリの開発者は、基盤となる Kubernetes プラットフォームの知識をそれほど必要とせず、YAML を書く必要がない可能性もあります。
「リフト&シフト」からの脱却
2021 年には、クラウドアーキテクトが「リフト&シフト」から脱却し、クラウドが提供する多くのオプションを活用できる最新のアプリケーション開発をするようになるでしょう。
「リフト&シフト」とは、アプリケーションを実行しているサーバから直接取り出し、コンテナイメージにコピーして実行することにより、アプリケーションを書き換えることなくクラウドネイティブアプリケーションのメリットを享受することを目的としていました。
現在のアーキテクトには、適切なアプリケーションコンポーネントを適切なサービスで実行するためのオプションがあります。今やコンテナは、サーバーレス function や DevOps ツールで管理される VM とともに、いくつかあるクラウドネイティブの選択肢の1つに過ぎません。負荷の高いコア処理はヘッドレス VM に残し、その他のモジュールはコンテナや function に収容することもあるかも知れません。
投資と買収の加速
ますます多くの企業がビジネスクリティカルなアプリケーションにクラウドネイティブな手法を採用していますが、一方でまだ始めたばかりだったり、あるいは検討中の企業もあります。そのため、クラウドネイティブセキュリティプロバイダーやオープンソースセキュリティテクノロジーは、投資や買収の対象として注目されています。
"For 2021, choose your cloud native security partner wisely, be prepared for some level of uncertainty, and take the time necessary for your teams to separate best practice from hype along the way."
アーリーアダプター、変化の激しいトレンド、進化するセキュリティ課題が特徴であるこの分野では、市場にある程度の「騒音」の存在が予想されます。企業は、時間をかけてベストプラクティスと誇大広告をより分け、クラウドネイティブセキュリティのパートナーを慎重に選択し、ある程度の不確実性を覚悟する必要があります。
まとめ
クラウドネイティブセキュリティの状況で唯一変わらないのは、より多くのアプリケーション開発チームがスピードとアジリティの方向に向かう中で、継続的な変化と進化していく役割です。これらのアプリケーションのセキュリティも同じペースで変化していくことでしょう。Aqua のブログやニュースレターをフォローし、今後の動向をチェックしてみてはいかがでしょうか。