fbpx

クラウドネイティブアプリケーションを保護するためのチェックリスト #aqua #コンテナ #セキュリティ

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2021年8月12日に公開された「 Securing Cloud Native Applications: Your Checklist 」の日本語翻訳です。

クラウドネイティブアプリケーションを保護するためのチェックリスト


クラウドネイティブにおける開発は、スピードとアジリティという多大なメリットをもたらします。しかし、組織がワークロードをコンテナに移行する際、既存のセキュリティアプローチのままでは破綻します。今まで以上にダイナミックになる環境にデプロイされる最新のアプリケーションを保護するには、どのような機能が必要でしょうか。クラウドネイティブセキュリティのチェックリストを使って、クラウドネイティブセキュリティの重要なコンセプトを理解し、自社の戦略が適切かどうかを確認してください。

クラウドネイティブセキュリティには、ビルド、インフラ、ワークロードを網羅する包括的な機能が必要です。このチェックリストは、クラウドネイティブセキュリティの重要なコンセプトを網羅し、クラウドにおける効果的なセキュリティ戦略を支える中核機能の概要が記載されています。

クラウドネイティブセキュリティはなぜ異なるのか

従来のセキュリティチームは、オープンソースをほとんど使用しない独自のプログラムで構成されていて、ワークロードは永続的、ホストにも永続的なアドレスがあり、ハイパーバイザーやハードウェアが分離されているような環境での計画と運用に慣れていました。

一方、クラウドネイティブ環境では、アプリケーションは主にオープンソースのコンポーネントを使用して構築されます。頻繁なコードの更新が自動化された CI/CD パイプラインを通じて継続的に行われ、非常に刹那的なワークロードが Kubernetes 環境において管理され、複数の多様な環境にデプロイされます。そのため、アプリケーションのセキュリティを確保するために使用される戦略は、DevOps と加速されたリリースサイクルのこの新しい世界に変化・適応する必要があります。

包括的なフルライフサイクルのセキュリティにおける重要な機能

クラウドネイティブな環境という全く新しい攻撃対象を保護するためには、ビルド、インフラ、ランタイムなど、アプリケーションのライフサイクルのすべての段階で特定のセキュリティ要件に対応する包括的なアプローチが必要です。

では、どのようなセキュリティ機能を求めればよいのでしょうか。必須の要素としては、以下があげられます。

自動化されたスキャンによるシフトレフトの実現

クラウドネイティブアプリケーションを安全に運用するには、ソフトウェア開発ライフサイクルにおいて、できるだけ早い段階でセキュリティを組み込むことが重要です。この「シフトレフト」を実現するため、セキュリティツールを CI/CD パイプラインに統合し、コードの作成時に脆弱性やその他のリスクを発見して修正する必要があります。

リスクに応じた脆弱性管理

脆弱性の状況を効果的に管理するためには、環境に対する実際の影響に基づいて、CVE に優先順位を付ける必要があります。リスクに応じたアプローチでは、状況に応じて要因を考慮し、脆弱性の修正と緩和のための推奨される優先順位を示します。

サプライチェーンセキュリティ

悪意のある攻撃者は、ソフトウェアのサプライチェーンにおいてマルウェアを感染させ、従来のアプリケーションセキュリティテストを回避して高度な攻撃を実行しようとする傾向が強まっています。CI/CD パイプラインでこのような隠れたマルウェアを検出するには、本番環境へデプロイされる前に安全なサンドボックス環境でイメージを実行してみる必要があります。

クラウドネイティブアプリケーションのセキュリティを確保するための重要な機能の一覧と技術的な例をご覧になりたい方は、クラウドネイティブセキュリティチェックリストをダウンロードしてください。

まとめ


クラウドネイティブアプリケーションのライフサイクルのさまざまな部分をさまざまなチームが担当している場合は特に、クラウドネイティブセキュリティは敷居が高く、圧倒されてしまうことがあります。

DevOps、クラウドエンジニアリング、セキュリティ、コンプライアンスのいずれかを担当している方は、このチェックリストを使用してクラウドネイティブアプリケーションとそのアプリケーションが動作するインフラストラクチャのセキュリティを確保するために必要な機能を十分に理解してください。

このシンプルなチェックリストは、セキュリティギャップを解消し、ビルド、インフラ、ワークロード全体でセキュリティ戦略を成功に導くための設定をするのに役立ちます。

New call-to-action

新規CTA