NCRがコンテナのセキュリティとPCIコンプライアンスを達成 #AquaSecurity #PCIDSS #DevSecOps #Container #Security #Kubernetes
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2019年10月9日に公開された「NCR Attains Security & PCI Compliance for Its Container-Based Applications」の日本語翻訳です。
顧客概要
NCR Corporation(NYSE:NCR)は、180か国の金融、小売、ホスピタリティ、テレコム、およびテクノロジーセクターの組織向けのソフトウェアおよびサービス主導の大手企業プロバイダです。アトランタに本社を置き、世界中に34,000人の従業員を抱えるフォーチュン500企業のうちの一つであるNCRは、POS(Point of Sales)ソリューション、ATM、デジタルバンキング製品向けのソフトウェアとハードウェアを開発しています。
挑戦:開発から本番までのプロセス全体の保護
さまざまな業界の企業は、ソフトウェアの開発とリリースのためのアジャイルプロセスを実装することで、より顧客のニーズに対応し、適応性を高めることを目指しています。主要なテクノロジープロバイダとして、NCRはこのトレンドの最前線にいます。NCRのソフトウェア開発チームは、インフラのコストを削減するためにパブリッククラウドサービスに移行しながら、マイクロサービスやコンテナなどのクラウドネイティブテクノロジーを使用してアプリケーションをこれまでになく迅速に構築およびリリースし始めました。これらの変更により、過去のセキュリティツールでは対処できなかったセキュリティとコンプライアンスの課題が生じました。
顧客はNCRを信頼して非常に機密性の高い財務データを保護しているため、企業にとってアプリケーションとデータのセキュリティを確保し、厳格なコンプライアンス要件を満たすソリューションを実装することが基本でした。
両方の目標を達成するには、NCRのアプリケーションセキュリティとサイトリライアビリティエンジニアリング(SRE)の実践により、この新しいアプローチの速度と規模を損なうことなく、セキュリティ状態の可視性と制御を高める必要がありました。
NCRは、最初のステップとして開発者が本番環境に展開しようとしているものの可視性を高めることが必要であると認識しました。開発者は修復パスを得て、開発の初期段階で問題を特定できます。 SDLC(Systems Development Life Cycle)の初期段階で問題を共有し、開発チームをサポートすることにより、セキュリティの結果による顧客へのリリース時の問題を回避できます。そのため、ランタイム環境への侵入の検知/ブロックを組み合わせて、開発の組み込みセキュリティに焦点を合わせる必要がありました。
NCRチームは、主要なコンテナネイティブソリューションをレビューし、必要な機能を提供できることから、クラウドネイティブアーキテクチャの実装への旅のパートナーとしてAqua Securityを選択しました。
このような新しいテクノロジーセグメントでは、ベンダーが提供する特定の機能が変更されることを認識しており、NCRが長期的な関係を築くベンダーを見つけ、数か月以内にリリースされる製品に対しチームが正しく取り組んでいるか確認することが重要でした。
ソリューション:アプリケーションのライフサイクル全体にわたるセキュリティの自動化
NCRチームは、複数のパイプラインと数十の開発チームにまたがるコンテナ開発および実稼働環境でAquaを展開しました。Aquaにより、セキュリティチームは、リリースの速度を妨げることなく、アプリケーションがエンタープライズに対応することを保証するポリシー駆動型アプローチを使用して、開発から本番までのサイクルを保護できます。
NCRは、Aquaのプラットフォームを使用して、アプリケーションの開発からリリースまでのセキュリティを確保するために必要な手順を自動化できました。
- CI/CDパイプラインおよびレジストリのコンテナイメージをスキャンして、既知の脆弱性、埋め込まれたシークレット、およびセキュリティで保護されていない構成を確認
- 重要度の高い脆弱性、rootユーザ特権またはハードコードされたシークレットを持つイメージを使用することを防ぐ
- 実行中のコンテナと元のイメージとの不変性の担保
- ホワイトリストに登録されていないプロセスおよびアクションを検出および防止するランタイム制御を実施
- PCI-DSSコンプライアンスの詳細な監査証跡を作成
Aqua Enforcerコンテナ(エージェント)がNCRのKubernetesクラスタに展開され、ランタイム制御が可能になり、継続的な監視と侵入防止が提供されました。
NCRは一部のアプリケーションをGoogle Cloudなどの追加のクラウドプロバイダに移行し始めましたが、Aquaはクラウドプラットフォーム全体で一元管理することが可能なため、オンプレ-クラウド間の環境とまったく同じ制御をGoogle Kubernetes Engine(GKE)に提供し、移行もシームレスに実施できました。
利点:PCIコンプライアンスと自動化されたフルライフサイクルセキュリティ
NCRのアプリケーションのいくつかは、クレジットカードと支払いデータを処理するため、PCI-DSSセキュリティ標準への準拠について定期的な監査の対象となります。 NCRがAquaを実装した後、Qualified Security Auditor(QSA)は、Aquaソリューションが顧客データを保護するために必要な制御を実現するのに非常に役立つとコメントしました。
PCI審査員は、Aquaとそれが提供する優れた制御と可視性に非常に感銘を受けました。開発の初期段階から本番に至るまですべてが追跡されているという事実を気に入っていました。
Aquaを導入しエンドツーエンドのセキュリティを自動化したことにより、NCRは以下のことが可能となりました。
- 「シフトレフト」により、開発サイクルの早い段階でセキュリティとコンプライアンスのチェックを実施
- 開発から本番までのアプリケーションのセキュリティ状態を可視化
- 本番環境へのコードのフローを制御して、脆弱性やその他のセキュリティ問題の導入を防ぐ
- スムーズなマルチクラウド展開とクラウド移行を実現
- PCIコンプライアンスの詳細データを監査員に提供