fbpx

IaCオートメーションによるAWS CloudFormation Public RegistryでAquaのプロビジョニング #aqua #コンテナ #セキュリティ #AWS #CloudFormationPublicRegistry

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2021年6月17日に公開された「 Provision Aqua on AWS CloudFormation Public Registry with IaC Automation 」の日本語翻訳です。

IaCオートメーションによるAWS CloudFormation Public RegistryでAquaのプロビジョニング


AWS CloudFormation Public Registry の利用により、Infrastructure as Code(IaC) ワークフローを使用した Aqua コンポーネントの管理が、AWS リソースタイプと同じく簡単になりました。 複数のアカウントやリージョンにまたがるネイティブリソースタイプとして、Aqua のデプロイやアップデート方法をシームレスに自動化できます。

本日 AWS は、AWS パートナーネットワーク(APN)パートナーや開発者コミュニティによって公開されたサードパーティのリソースタイプ(プロビジョニングロジック)やモジュールをお客様が容易に発見、プロビジョニング、管理することができる検索可能なエクステンションコレクション「AWS CloudFormation Public Registry」の提供開始を発表しました。

純粋なクラウドネイティブセキュリティのリーダーである Aqua Security は、AWS と協力して Aqua Enterprise Server、Aqua Enterprise Scanner、Kube Enforcer、Container Enforcer のリソースタイプをレジストリ上に公開しました。これによりお客様は、モジュールのプロビジョニングおよびデプロイメントを根本的に簡素化し、効果的に拡張し、Aqua Platform の新バージョンがリリースされても容易にアップグレードできます。

Aqua CloudFormation Public Registry への登録は、AWS のお客様向けに現在提供されています。Aqua は、AWS Marketplace にも掲載されており、AWS Partner Network(APN)の認定メンバーでもあります。

AWS CloudFormation Public Registry上のAquaのリソース

また、AWS のビルドやアーティファクトパイプラインにセキュリティを組み込み、AWS インフラストラクチャのコントロールの検証と修正を行い、挙動プロファイリングにより高度なサービスを提供するワークロードを保護します。

Aqua は複数のリソースタイプを検証し、CloudFormation テンプレートを通じてプロビジョニングできるようになりました。

  • Aqua Server は、イメージスキャン、ライフサイクルコントロール、ポリシー、モニタリング、レポーティングの機能を提供する中央管理コンポーネントです。
  • Aqua Enterprise Vulnerability Scanner は、CI/CD パイプライン、function ストア、イメージレジストリ内を直接スキャンすることで、完全なリスク分析を行い、ビルド前の迅速な修正を可能にすることで、「セキュリティのシフトレフト」をサポートします。
  • Aqua Kube Enforcer は、AdmissionController として機能し、Kubernetes 環境において、コンプライアンスに準拠したイメージのみを実行できることを保証します。
  • Aqua Container Enforcer は、ワークロードのランタイムアクティビティを監視し、定義されたコントロールを適用することでセキュリティを確保します。

お客様は、コマンドラインスクリプトやその他の手動によるプロビジョニング手順を使用することなく、数回のクリックで Aqua プラットフォームとこれらのモジュラーコンポーネントを導入し、AWS インフラストラクチャのリソースタイプとしてプラットフォームコンポーネントを管理できます。プロビジョニングの複雑さを軽減し、AWS 環境内で Aqua リソースのライフサイクルをネイティブに管理できます。

なぜCloudFormationとInfrastructure as Codeなのか?

AWS CloudFormation は、インフラストラクチャをコードとして扱うことで、関連する AWS およびサードパーティのリソースのコレクションをモデル化します。それらを迅速かつ一貫してプロビジョニングし、ライフサイクルを通して管理するための簡単な方法を Aqua のお客様に提供します。開発者は、特定のリソース API の複雑さを抽象化したシンプルな宣言で、Aqua のリソースをデプロイし、更新できます。

今回の Aqua と CloudFormation Public Registry の共同リリースにより、お客様は、Aqua が公開しているリソースタイプを簡単に発見でき、リソースタイプを自分で構築したり維持したりする必要がなくなります。

Aqua コンポーネントがパッケージ化され、CloudFormation Registry のリソースタイプとして公開されたことで、お客様は CloudFormation の Service Managed StackSets を使用して、1回の操作で AWS 組織全体または組織単位(OU)内の特定のアカウントセットで使用するためにこのソリューションを有効化できます。AWS::CloudFormation::TypeActivation リソースタイプを、AWS 組織全体または特定の OU を対象とした Service Managed StackSets に提供されたテンプレートで使用し、オプションとしてリソースタイプの ARN を渡すことで有効にできます。

さらに、Drift Detection などの CloudFormation の機能を Aqua のリソースタイプに使用できます。Drift Detection により、スタック内のリソースが想定されるテンプレート構成から変更されていることを特定し、サードパーティ製リソースタイプごとに変更状況の詳細情報を把握できます。

まとめ


AWS パートナーである Aqua は、レジストリ上で独自のリストを公開・維持し、CloudFormation テンプレートをプロビジョニングロジックの単一の手法として使用することで、複数のアカウントやリージョンにまたがってプラットフォームをインストールする方法を自動化・効率化できるようになりました。

AWS CloudFormation Public Registry への掲載と、AWS CloudFormation プロビジョニングテンプレートのサポートの検証は、Aqua 社と AWS との長年の協力関係に基づくものです。

AWS Container Competency Partner である Aqua は、Amazon Elastic Kubernetes Service(Amazon EKS)、AWS Lambda、AWS Fargate、BottleRocket、Amazon Elastic Container Service Anywhere(Amazon ECS Anywhere)、Graviton2 プロセッサ上で動作する Amazon Elastic Compute Cloud(Amazon EC2)インスタンスなどの AWS サービスを安全に利用するための機能に投資してきました。

New call-to-action

新規CTA