fbpx

Aquaを使うならこんなふうに 第1回 Aquaのコンポーネントについて #aqua #container #security #コンテナ #セキュリティ

AquaSecurity

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

第1回 Aquaのコンポーネントについて

Aqua Security 社が提供するAquaは、コンテナセキュリティの最先端に位置するアプリケーションの1つです。今回から、Aquaの機能を少しずつ紹介する連載を開始します。第1回では、Aquaのコンポーネントについて説明します。

Aqua の各コンポーネントはすべてコンテナで提供されており、以下の図で示すとおり構成されます。

Aqua構成図

Aqua Server

Aqua ServerはAqua の中央制御コンポーネントで、Aquaの他コンポーネントの構成を行い制御します。また、以下の外部コンポーネントと連携できます。

  • SIEM(Security Information and Event Management)
    セキュリティ情報イベント管理ツールへの連携が可能です。
  • Monitoring System
    Aquaのログ出力は、Prometheusとの連携を公式サポートしています。もちろん他ツールでも監視可能です。
  • CI/CDツール
    GitLab、JenkinsなどのCI/CDツールと連携し、作成直後のイメージをスキャン可能です。
  • コンテナレジストリ
    プライベート/パブリックを問わず、レジストリ情報を登録することでイメージの継続スキャンが可能です。

Aqua Serverには、管理者/開発者/運用者などが利用するWeb UIを用意しています。Web UIでは役割を各ユーザに割り当てることで、セキュリティの管理、監視などを行います。

Aqua Database

Aqua Databaseは、AquaサーバとAqua Gatewayが利用するデータベースです。Aquaのセキュリティポリシー/ユーザ、ロール/オプションなどの設定情報、セキュリティ監査ログが保存されます。
Aqua Databaseは、設定や監査結果などを確実に残すためにマネージドデータベースの利用が推奨されています。

Aqua Gateway

Aqua Gatewayは、Aqua ServerとAqua Enforcer間の通信を処理します。Aqua ServerとAqua Enforcerの間に挟む(3 tier 構成とする)ことで、大規模な環境でもボトルネックを防ぎます。またAqua Gatewayは、Aqua Serverが外部のSIEMと連携するためのインタフェースとして動作します。

Aqua Gatewayを複数の環境に配置することで、容易に管理対象をスケールできます。

Aqua Scanner

Aqua Scannerは、セキュリティ問題(脆弱性、機密データ、マルウェア)の有無を確認するため、コンテナイメージを静的スキャンし、その結果をAqua Serverに送ります。Aqua Scannerは設定されたイメージ保証ポリシーによって動作を指示されます。

Aqua Scannerは、Linux用とWindows用の2種類が用意されています。デフォルトでイメージスキャンはAqua Serverで実行されますが、登録されるイメージ数によって負荷がかかってきます。 イメージスキャンのみを実行するコンポーネントAqua Scannerを複数起動しておくことで、Aqua Serverの負荷を軽減できます。 また、Scannerを使用する場合登録されているイメージに対して並列的にスキャンを実行するので時間の短縮にも繋がります。Windowsホスト上でイメージスキャンするためには、1つ以上のWindows用Aqua Scannerを起動する必要があります。

Aqua Enforcer

Aqua Enforcerは、コンテナランタイムポリシーの施行を提供するコンポーネントです。Aqua Enforcerは、ランタイムポリシーに従いコンテナの動作を監視し、ポリシーに違反した挙動の検知/ブロックを行います。Aqua Enforcer の対象は、配置されたホスト上で動作する実行中の全コンテナです。そのため、Aquaが管理するすべてのホストに、Aqua Enforcerを導入する必要があります。Aqua Enforcer は、Linux用とWindows用の2種類が用意されています。

ホストのない環境等では、種別ごとにEnforcerが存在します。

  • Aqua MicroEnforcer
    • Aqua Enforcerがインストールできない環境(AWS Fargate/Azure ACIなどのCaaS環境)で使用できます。
    • 監視するコンテナイメージに追加され、コンテナデプロイ後にコンテナ内で動作します。
  • Aqua VM Enforcer
    • コンテナホスト(仮想マシン)を保護します。
  • Aqua NanoEnforcer
    • AWS LambdaにFunctionランタイムポリシーを適用し、Lambdaのランタイムアクティビティを監視/制御します。
  • Aqua KubeEnforcer
    • KubernetesのAdmission Controllerを使用します。
    • Kubernetesクラスタ上でコンテナが実行される前にAquaのイメージスキャンに基づき、非準拠および/または未登録のイメージの実行を防止します。
    • Kubernetesクラスタのインフラストラクチャ、ワークロード、脆弱性を自動的に発見します。

Aqua Cybercenter

Aqua Cybercenterは、Aqua Securityが維持/運営するサイバーインテリジェンスのナレッジベースです。Cybercenterには、以下のセキュリティ情報を集約/維持しています。

  • 脆弱性
  • マルウェア
  • ソフトウェアの前提条件
  • ライセンス要件
  • その他、セキュリティ対策に関する最新情報

上記の情報は、NVD/ソフトウェアベンダー/その他から入手しています。

Aqua Tenant Manager

Aqua Tenant Managerは、作成したセキュリティポリシーを、複数のドメイン(グループ)に配布するアプリケーションです。このアプリケーションはオプションで提供されます。

終わりに

今回は、Aqua Securityが提供するコンテナセキュリティの構成について解説しました。今後も、Aquaが提供するコンテナセキュリティについて解説していきます。次回をお楽しみに。

Aqua に関する最新情報はこちらをご覧ください。

New call-to-action
新規CTA