Aqua CSPのDocker.io環境での使用イメージの紹介

Aquq CSP(Container Sequrity Platform)は、コンテナとクラウドネイティブアプリケーションのために開発された、フルライフサイクルなセキュリティソリューションです。

コンテナ時代のセキュリティ

顧客ニーズの変化にすばやく対応するため、DevOpsサイクル(開発→テスト→リリース→運用→…)が必要になってきました。コンテナ技術を採用することにより開発リリースサイクルが加速する事が可能です。
しかし、現在発展中のコンテナ技術はいくつかのセキュリティリスクを抱えています。

• DockerHubなどの公開コンテナイメージの問題
  既知の脆弱性が放置されている可能性
  マルウェアが仕込まれている可能性(crypto miningなど)
• 自社開発コンテナイメージ
  意図しない動作(情報の送信、fork bombなど)を行う可能性
• 承認されたコンテナイメージ以外を実行
• 操作ミスや、想定外の運用
• シークレット管理
  第三者が作成した秘密鍵やパスワードがコンテナイメージに含まれている
• 未知の脆弱性・攻撃への対応

シフトレフトという考え方

脆弱性のあるコンテナをもとに開発を行ったまま運用段階へ入ってしまうと、脆弱性に対するリカバリーコストが高くなります。そのため、 テストより前の構築段階での開発者によるセキュリティ対策、シフトレフトが必要になってきます。
このように、 DevOpsにSecurity のプロセスを加えることを DevSecOps と呼びます。

DevSecOpsの自動化

DevSecOpsを進めるためにはプロセスの自動化を行い、省力的にライフサイクルを回す必要があります。

• CI/CDパイプライン全体を守る
  セキュリティの自動化でアプリのデリバリを早める
• コンテナ全般のセキュリティ
  イメージの不変(イミュータブル)の徹底
  ホワイトリストによる制御、異常な挙動の検知
  マイクロサービスレベルのファイアウォールによるアクセス制御
  状況の可視化とコンプライアンス対応
• クラウドロックインを防止
  プラットフォームに依存しない
  ハイブリッドクラウド、クラウド移動が可能

Aqua CSPは、このライフサイクルのセキュリティを支援するソリューションです。

Aqua CSPを使ってみる

今回、コンテナ時代のセキュリティに対応するAqua CSPを、Docker.io環境で構築・検証した際の資料を用意しました。

Aqua Securityの紹介

実際にどのようにAquq CSPをインストールし、使用するのかというイメージを掴むのにご利用ください。