Aqua脆弱性データベース(AVD)を公開:Kubernetesクラスタを強化 #aqua #コンテナ #セキュリティ #脆弱性管理 #kubernetes #k8s #脆弱性データベース #AVD
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2020年12月15日に公開された「 Unveiling Aqua Vulnerability Database, Strengthen Your K8s Clusters 」の日本語翻訳です。
Aqua 脆弱性データベース(AVD)を公開:Kubernetes クラスタを強化
クラウドネイティブ環境における脆弱性情報は重要なリソースですが、様々なプラットフォームに分散していることがよくあります。クラウドネイティブソフトウェアの 80% はオープンソースをベースにしているため、脆弱性に関する最新の情報を入手することは重大な課題となります。Aqua の新しい Aqua Vulnerability Database (AVD)は、これらの分断されたソースを統合して、アクセスしやすい単一のソースにしました。ほとんどのパブリッククラウドやハイブリッドクラウドのデプロイメントは Kubernetes 上で実行されます。ユーザは AVD がオープンソースの脆弱性に関する情報と Kubernetes のベストプラクティスや環境の強化、クラウドアカウント設定のベストプラクティスを統合していることを高く評価するでしょう。
AVD は、NVD・ベンダーセキュリティアドバイザリー、様々な記事やフォーラムなどの情報源からの情報を集約するだけでなく、アップデートされていない古い情報についても更新されます。セキュリティの専門家同士や、あるいはセキュリティチーム内でさえも知識がサイロ化されていることがよくありますが、AVD はセキュリティの専門家・開発者・オペレーターが日々遭遇する記事や脆弱性に関する情報をより容易に見つける方法を提供します。
AVD インターフェース、フリー検索機能、緩和リソース
AVD は、キーワード(例:openssl)または CVE-ID (例:CVE-2020-1234)で検索できるフリー検索入力を提供しています。フリー検索により、CVE ID のような識別子を使用した自分では気づかないような記事や脆弱性を容易に検索できます。
脆弱性情報
各脆弱性に関する情報を様々なソースから AVD へ集約し、各 CVE ID について様々なベンダーの脆弱性スコアの包括的なリストを公開しています。
また、攻撃者が脆弱性を悪用するための様々な攻撃ベクトルを定義した、各脆弱性に関する拡張情報も紹介しています。
読者を支援するために、一般的な環境強化方法やその他の脆弱性に関連した緩和方法を含むリストも提示しています。
kube-hunter による自動侵入テスト
AVD には Kubernetes クラスタの強化に関する情報も掲載されています。これは Aqua のオープンソースツールである kube-hunter が提供するものです。
AppShield
また、Aqua はオープンソースプロジェクトである AppShield を通じて、ユーザを Kubernetes クラスタに対する攻撃から守るために、検証済みの Rego ポリシーを公開しています。これらのポリシーは、AVD の AppShield アドバイザリーページの一部として表示されています。Kubernetes クラスタの管理者とエンドユーザが全体的なセキュリティ状態を改善するために、クラスタに適用できる推奨されるアクション項目が、各ポリシーに記載されています。さらに Rego ポリシーでは、OPA のようなポリシーエージェントを介してこれらのチェックを適用できます。
Trivy と AVD の統合
AVD をより使いやすくするために、Trivy のスキャン結果に AVD のリンクを埋め込んでいます。Trivy によるスキャンの度に、既存の脆弱性に関する情報に加えて AVD の脆弱性ページへのリンクが表示されます。この機能は Trivy の最新リリースに含まれる予定です。
Lens IDE と Starboard、Trivy、AVD の統合
Lens IDE は Kubernetes の運用管理を行うための IDE ツールです。先日、Starboard によるレポートを Lens UI に統合する拡張機能を公開しました。それに基づいて、Lens Starboard 拡張機能にも AVD の統合を追加しました。
各脆弱性をクリックすると、対応する AVD ページが表示されます。これは、脆弱性スキャナとして Trivy を介して生成される Starboard の脆弱性レポートで利用可能です。3つのツールを組み合わせることで、より使いやすく、より完成度の高いセキュリティレポートを提供します。
AVD を試そう
AVD は現在、世界最高のオープンソース脆弱性スキャナである Trivy に統合されています。あらゆる規模のチームに堅牢なスキャン機能を提供する Aqua Wave もまた、登録して実行するだけでとても簡単に使用できます。