ガートナー社作成 2021年版CWPP(コンテナワークロード保護プラットフォーム)市場ガイド #aqua #コンテナ #セキュリティ #ガートナー #レポート
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2021年9月1日に公開された「 Gartner’s 2021 Market Guide to Cloud Workload Protection Platforms 」の日本語翻訳です。
ガートナー社作成 2021年版CWPP(コンテナワークロード保護プラットフォーム)市場ガイド
ガートナー社は先日、最新の市場ガイド「Market Guide for Cloud Workload Protection Platforms*」を発表しました。このレポートでは、クラウドワークロードを保護する際にユーザが評価しなければならない中核的な機能とアーキテクチャ上の検討事項が概説されています。今回の更新で重要なのは、CWPP の範囲を精緻化し、新たな主要要件を追加するとともに、新たに登場した CNAPP(クラウド・ネイティブ・アプリケーション・プロテクション・プラットフォーム)カテゴリーとの関連性を持たせているのが大きな特徴です。
このレポートでは、代表的なベンダーとして Aqua Security を取り上げており、ガートナー社は次のように指摘しています。「コンテナベースのアプリケーションアーキテクチャー、マイクロサービスベースのアプリケーション、サーバーレス PaaS の採用によるクラウドネイティブアプリケーション開発への移行には、開発時と実行時の両方で新しい CWPP の機能が必要です。クラウドネイティブなアプリケーションには、クラウドベースのシステムの保護要件に対応するように設計された特定のソリューションが必要です。」
セキュリティとリスクの専門家が以下のようにすべきと、ガートナー社は推奨しています。
- ワークロードのスキャンとコンプライアンスの取り組みを開発(DevSecOps)にまで拡大し、特にコンテナベースやサーバーレス機能を持つ PaaS(Platform as a Service)ベースの開発やデプロイメントにおいて、ワークロードの安全性を早期に確保します。
- 物理マシン、VM、コンテナ、サーバーレスのワークロードを保護し、場所を問わず単一のコンソールですべてを管理できる CWPP 製品を必要としています。ほとんどの企業のデータセンターは、将来的にはハイブリッドマルチクラウドアーキテクチャへと移行するでしょう。
- CWPP の評価において、コンテナ保護機能を必須条件とします。Kubernetes とマネージド Kubernetes サービスを検討している場合は、この環境の明示的なサポートも要件とし、CWPP ベンダーに CSPM/KSPM 機能の明示的なサポートも必須条件とします。
- 不変性をベースにしたインフラストラクチャでは、CWPP の保護戦略はゼロトラストの考え方にシフトし、実行時のアプリケーション制御とコンテナのロックダウン(デフォルト拒否、ゼロトラスト)に焦点を当て、デプロイ前の脆弱性スキャンにより重点を置きます。
これらのクラウドセキュリティの要件と、Aqua がどのように対応しているかを詳しく説明しましょう。
CI/CDフェーズでのシフトレフト
コンテナとマイクロサービスは、驚異的なスピードと柔軟性をもたらし、継続的インテグレーションと継続的デリバリ(CI/CD)が IT チームの標準となっています。このように新しいコードの提供が速くなると、アプリケーションがデプロイされる前にセキュリティ問題を早期に検出する必要があります。セキュリティ問題を迅速に修正できるよう、攻撃対象をより適切に制御し、開発フェーズの早い段階でセキュリティを組み込む必要があります。
Aqua は、すべてのクラウドネイティブワークロードに対してこの機能を提供します。コンテナイメージ、VM イメージ、function をスキャンして、既知の脆弱性、埋め込まれたシークレット、マルウェア、設定のミス、過剰にプロビジョニングされたパーミッションを検出します。これをCI パイプラインに直接統合するとともに、レジストリや function ストアにも統合します。さらに、Aqua DTA(Dynamic Threat Analysis)は、静的なスキャンを回避する隠れたマルウェアが存在するイメージを検出し、本番環境への導入を防止するとともに、インシデント対応を早期に実現します。
コンテナとサーバーレス機能のためのネイティブコントロール
クラウドネイティブは、アーキテクチャの根本的な変化をもたらします。従来のセキュリティソリューションでは、インストールされたホストベースのエージェントやネットワークベースのコントロールを使用していたため、アプリケーションのコンテキストや新しいスタック内の適切なコントロールポイントが不足していました。これらの機能がなければ、脅威を適切に検知、対応すること不可能です。
Aqua は、コンテナとサーバーレス向けにライフサイクル全体にわたるワークロードアクティビティの完全な可視化と自動制御を実現するとともに、DevOps の利便性を損なわないように設計されています。ワークロードの種類ごとに専用のエージェントを備えた Aqua は、コンテナであれ function であれ、ワークロードがどこで実行されようとも、それを追跡するセキュリティ制御を提供します。これにより、アプリケーションの継続性を阻害せず、パフォーマンスを最適化したきめ細かなセキュリティを提供できます。
すべてのワークロードを可視化
最近では、ほぼすべてのクラウドネイティブな企業展開において、複数の種類のワークロードが使用されています。多くの場合、複数のクラウドやハイブリッドクラウドにまたがっており、複数の管理プラットフォーム(例:Red Hat OpenShift、Tanzu Application Service)を使用している場合もあります。
Aqua では、人気のあるプラットフォームやワークロードの種類をすべてサポートすることに熱心に取り組んでおり、お客様のすべての環境における脆弱性、ポリシー、イベントを統一的に把握できます。また多くのチームや関係者が関わっていることを認識し、組織がチームや役割の分離を維持しながら、クラウドネイティブ環境内のすべての要素に対するアクセスとパーミッションを定義できるように、Aqua の RBAC モデルを開発しました。
CWPPとCSPMの融合
CWPP が実行するクラウドネイティブアプリケーション(ワークロード)を保護するのに対し、CSPM はそれを実行するインフラストラクチャの保護を支援します。これにより、クラウドインフラストラクチャの保護と、クラウドサービスが安全に構成されていることを検証します。単なる補完関係ではなく、これらを組み合わせたサービスは、クラウドスタック全体および上下方向のセキュリティと可視性を提供するために不可欠です。
Aqua CSPM を使用すると、セキュリティ構成上の問題を継続的に監視し、修復のアドバイスも得ることができます。AWS、Azure、GCP、Oracle など、主要なパブリッククラウドをサポートしており、ユーザの役割と権限、証明書と MFA、特定のサービス構成、データの暗号化、ネットワーク、監査機能、使用傾向を調査し、異常を検知します。お客様の環境を監視することで、改善のためのアラートを提供し、コンプライアンス順守や CIS ベンチマークのレポートを提供します。
Kubernetes Security Posture Management(KSPM)
Kubernetes で実行されるコンテナワークロードを保護するだけでなく、オーケストレーションプラットフォームとしての Kubernetes の多くのパラメータの安全な設定を管理する必要性を認識していた Aqua は、Kubernetes Security Posture Management(KSPM)のパイオニアとして、KSPM という言葉を生み出しました。
CSPM はクラウド環境に対して、KSPM は Kubernetes 環境にフォーカスしたものです。ガートナー社は現在、CWPP ベンダーに KSPM 機能を提供することを推奨しています。
ランタイムプロテクションにおけるゼロトラストの活用
ゼロトラストセキュリティでは、組織はアプリケーションが可能な限り最も安全な方法で実行されていることを、決定論的に確認できます。これにより、組織は攻撃対象を減らすことができ、対応すべきイベントの数が減るため、これを補完するリアクティブコントロール(検知と対応)がより効果的になります。ゼロトラストは、設定、ワークロードのデプロイ、ワークロードのランタイム保護、ネットワークに適用でき、Aqua はこれらすべてに対するコントロールを提供します。
Aqua の Image Assurance Policy は、お客様の環境で何が許容され、何が許容されないかの許容レベルを定義します。承認されていないイメージ、VM、function のデプロイを防ぎ、運用エラー、不正なイメージの乱用、不正なデプロイを未然に防ぎます。
Aqua のワークロードファイアウォールは、オーケストレーターのオブジェクト(Pod 名、Namespace)、IP/CIDR アドレス、DNS に基づいて動的なファイアウォールルールを自動的に生成します。これにより、正当と思われる接続のみを確実に許可し、ネットワークトラバーサルの試みを警告またはブロックする、ワークロードのマイクロセグメンテーションを実装します。
ランタイム保護機能の一つである Drift Prevention は、コンテナや function の不変性を強制し、実行中のワークロードへの承認されていない変更を検出します。マルウェアやゼロデイエクスプロイトを特定してブロックし、最小権限の許可リストにより、異常な動作、特権昇格、コードインジェクションを検出してブロックします。
Aqua はコンテナの実行時の動作を自動的にプロファイリングし、この情報を使って Image Profile を生成します。これにより、コンテナの制限を適用したり、特定のコンテナの許可リストを作成して、特定の実行時の動作をブロックできます。例えば、Aqua はコンテナが実行時に使用するシステムコールをプロファイリングし、それらのみを許可し、それ以外はブロックしてコンテナエスケープを防ぐことができます。
ゼロトラストモデルをランタイムで実施することは、あらゆるクラウドネイティブセキュリティ戦略において不可欠なレイヤーです。Aqua が実施したクラウドネイティブランタイムセキュリティ調査でも、認識と現実のギャップが明らかになり、セキュリティ専門家がコンテナのセキュリティ境界としての機能を過大評価していることなどが示されました。
まとめ
クラウドネイティブセキュリティに関する企業の要件が進化し続ける中、セキュリティに妥協することなくクラウドの機能を、十分に活用する必要性も高まっています。ソフトウェアベンダーには、スタックの上下、SDLC 全体、複数のプラットフォームへまたがるセキュリティ問題に対処する、強力で統一されたソリューションを提供することが期待されています。Aqua は、これらの課題と要件を解決する Aqua Cloud Native Security Platform を提供します。