SysdigとApolicy:IaCセキュリティと自動修復によるクラウドとKubernetesのセキュリティの自動化

By 清水 孝郎 - AUGUST 30, 2021

SHARE:

本文の内容は、2021年8月30日にSysdig CEO Suresh Vasudevanが投稿したブログ(https://sysdig.com/blog/sysdig-apolicy-infrastructure-as-code-security-and-auto-remediation/)を元に日本語に翻訳・再構成した内容となっております。

本日、SysdigはApolicyの買収を完了し、お客様がコード通りにインフラを保護できるようになりました。ApolicyチームがSysdigファミリーの一員となり、豊富なセキュリティのDNAを当社にもたらしてくれたことを大変嬉しく思います。

当社のお客様は、クラウドやKubernetesのインフラをIaCセキュリティで構成する際に、セキュリティをさらにシフトレフトさせ、リスクを管理できるようになりました。Apolicyの独自の差別化は、Open Policy Agent(OPA)や自動修復ワークフローを介してポリシーをコードとして活用することで、IaC、クラウド、Kubernetes環境でのポリシー管理を簡素化することにあります。これにより、お客様はKubernetesやクラウドのセキュリティを強化し、プロダクションからソースへのギャップを埋めることができます。Apolicyは現在、コンテナ、Kubernetes、クラウド全体のセキュリティ、コンプライアンス、モニタリングを一元化するSysdig Secure Devopsプラットフォームの重要な柱となっています。

最先端のソフトウェア開発を形成する大きな力は2つあります。1つ目は、コンテナ、Kubernetes、パブリッククラウドサービスを活用したマイクロサービスへの移行です。もう1つは、ソフトウェアを継続的に構築してデプロイするためのDevOps文化とプロセスの採用です。これらの2つの力によって、安全で信頼性の高いソフトウェアを確保するためには、根本的に異なるアプローチが必要となります。これは、3つの重要なテーマに焦点を当てたSecure DevOps Platformの設立当初からの使命です。

  1. シフトレフトセキュリティ:CI/CD手法の採用により、ソフトウェアが本番環境にデプロイされる前に、ソフトウェア開発パイプラインの一部としてソフトウェアの脆弱性や設定ミスを特定し、修正する必要があります。
  2. ランタイムセキュリティ:最先端のアプリケーションは、何千ものコンテナ化されたサービス(多くの場合、一過性のもの)とパブリッククラウドのリソースをつなぎ合わせて構成されています。包括的な保護には、ランタイムの深い可視性、振る舞いをベースとした脅威の検知、ポリシーの遵守、脅威の防止、インシデント対応が必要です。さらに、ランタイムセキュリティの調査結果は、ソフトウェアのライフサイクルの早い段階で是正されるべきであり、シフトレフトセキュリティとランタイムセキュリティの間に好循環が生まれます。
  3. 継続的なコンプライアンス:リスクおよびガバナンスチームは、監査に対応するだけでなく、継続的に、規制遵守の義務と内部リスク管理ポリシーを満たす必要があります。理想的なソリューションは、コンプライアンスポリシーと特定のセキュリティコントロールとのマッピングを自動化し、リグレッションをリアルタイムに追跡し、チケッティングシステムと統合することで、開発者の生産性に悪影響を与えることなくコンプライアンスを実現します。

IACのセキュリティは、Secure DevOpsの鍵であり、Apolicy社の買収の動機となりました

DevOpsやCI/CDツールの導入が進むにつれ、アプリケーション開発者がコードをリリースする頻度は非常に高くなっています。これに伴い、パイプラインに統合されたイメージスキャンにより、脆弱性が本番ソフトウェアに混入するのを防ぐことは、ベストプラクティスとして認められており、Sysdig Secure DevOps Platformの中核的なユースケースとして、何百ものお客様がこの機能を導入しています。

現在、DevOpsチームは同じ原則をインフラストラクチャーのデプロイと管理に適用しています。Infrastructure as CodeとGitOpsは、いくつかの重要な原則に基づいています。

  • インフラの状態は、Gitなどのソースコード・リポジトリ内のバージョン管理されたコード(YAML、Terraformなど)として定義されます。
  • インフラへの変更は、ソースファイルを変更するプルリクエストによって行われます。
  • プルリクエストが承認されてマージされると、ソースリポジトリで定義された状態に合わせて本番のインフラが再構成・同期されます。
IACが急速に普及しているのは、運用管理を改善することで耐障害性を高めることができるからです。また、IACは、インフラが本番環境に導入される前に構成上のリスクを特定して排除することで、セキュリティとコンプライアンスを大幅に向上させることができます。Apolicy社の買収により、この可能性を現実のものとすることができます。

Apolicy社の”ソースから本番までのIACセキュリティ”は高度に差別化されている

Apolicyのアプローチを掘り下げていくと、彼らがIACセキュリティに独自の方法で取り組んでいることが明らかになりました。ソースから本番までの構成リスクに包括的に対応することを理念としているApolicyの主な差別化ポイントは以下の通りです。
  • ソースと本番の間のドリフトの自動修復:Apolicyは、本番環境でポリシーに違反するあらゆる構成を検出します。さらに重要なことは、Apolicyは構成を該当するIACソース・ファイルにマッピングし、ソース・ファイルを修正するためのプル・リクエストを自動的に作成することです。この自動化されたワークフローは、DevOpsの生産性を向上させ、すべての本番環境に一貫して改善策を適用できるようにします。
  • リスクの優先順位付け:Apolicyは、アプリケーション・コンテキストを深く理解しており、これを活用して、構成エラーを影響を受ける本番インスタンスや影響を受けるアプリケーションにマッピングします。これにより、セキュリティおよびコンプライアンス・チームは、リスクに基づいて問題に優先順位を付け、アラートの数を減らすことができます。
  • OPAを使ったコードとしてのポリシー: Apolicyは、Falcoがランタイム・ポリシーのOSS標準となっているように、コンフィグレーション・ポリシーのOSS標準となっているOPAを活用しています。Apolicyは、コンプライアンスとガバナンスを自動化するための包括的なアウトオブザボックス(OOB)ポリシーのセットを持っており、複数のIAC、Kubernetes、クラウド環境に適用して実施することで、組織全体のスケーラビリティと一貫性を実現します。
Apolicy社のIACセキュリティは、当社のKSPM(Kubernetes Security Posture Management)とCSPM(Cloud Security Posture Management)を強化し、イメージスキャン、ランタイムの可視化、脅威の検知と対応、規制遵守など、当社のSecure DevOpsプラットフォームで対応する他のユースケースを補完します。

2020年は、”クラウドに懐疑的”な企業にとっても、コンテナやクラウドの導入が優先されるようになるという、画期的な出来事がありました。それに伴い、最新のクラウドアプリケーションを導入する際の最大の障壁である、コンテナとクラウドのセキュリティリスクに対処することが急務となっています。このニーズに対応するには、ソースから本番までの可視性、セキュリティ、コンプライアンスを確保するSecure DevOpsアプローチが必要です。お客様が自信を持って最新のクラウドアプリケーションを実行できるように、この信念が私たちの原動力となり、急速なペースで革新していきたいと考えています。