本文の内容は、2021年10月12日にSysdig社が発表したプレスリリース(https://sysdig.com/press-releases/falco-open-source-adds-aws-cloud-security-monitoring/)を元に日本語に翻訳・再構成した内容となっております。
新しいプラグイン機能でオープンソースの脅威検知をクラウドに拡張
サンフランシスコ – 2021年10月11日 – KubeCon + CloudNativeCon North America – Sysdigは本日、オープンソースソフトウェアプロジェクト Falco にクラウドセキュリティ監視機能を追加したことを発表しました。新しいAmazon Web Services(AWS)CloudTrailプラグインは、Falcoルールを使用して、AWSクラウドサービスにおける予期せぬ動作や設定変更、侵入、データ盗難をリアルタイムに検知します。この拡張機能は、LinuxのシステムコールやKubernetesの監査ログ以外の追加ソースからデータを取得するために、誰でもFalcoを拡張できる新しいプラグインフレームワークに基づいて、FalcoコミュニティがSysdigと共同で開発しました。組織は重要なデータを複数のクラウドで管理しているため、分散環境で一貫した脅威検知が必要です。追加のプラグインにより、組織は一貫した脅威検知言語を使用し、ワークロードやインフラストラクチャーに一貫したポリシーを使用することで、セキュリティギャップを解消することができます。さらに、コンプライアンスフレームワークをサポートする20以上の新しいアウトオブボックスのポリシーがリリースされました。Falco コミュニティブログ: Falcoプラグインのアーリーアクセス
クラウドネイティブなランタイムセキュリティプロジェクトであるFalcoは、コンテナとKubernetesのためのデファクトの検出エンジンであり、3,000万以上のダウンロードを記録しています。Sysdigによって作成され、CNCFにコントリビュートしているFalcoは、インキュベーションレベルのホステッドプロジェクトです。新しいプラグイン機能とフレームワークは、FalcoコミュニティとSysdigがここ数カ月でプロジェクトにコントリビュートしたものです。今日現在、AWS CloudTrailプラグインはプレビューモードで使用可能で、コントリビューターはフレームワーク上に新しいプラグインを構築することができます。
クラウド構成のリスクと脅威をリアルタイムに検知
現在、セキュリティチームは、AWS CloudTrailのログをデータレイクやセキュリティ情報・イベント管理(SIEM)にエクスポートして処理した後、脅威やリスクを示す構成の変更を検索することを余儀なくされています。この方法では、リスクの特定に遅れが生じるだけでなく、コストや複雑さも増してしまいます。Falcoは、ストリーミングアプローチを用いてクラウドログを検査し、データの追加コピーを作成する必要なく、リアルタイムでログにルールを適用し、問題点を即座に警告します。このアプローチは、リスクを高める可能性のある設定や権限の予期せぬ変更を継続的にチェックすることで、静的なクラウドセキュリティの姿勢管理を補完します。さらに、最新の侵入検知システム(IDS)として機能し、脅威を示す異常な動作に基づいて脅威を検知します。
コンテナとクラウドで一貫した脅威検知ツールを提供
クラウドとセキュリティのチームは、マスターして管理すべきツールが増え続けることに悩んでいます。Falcoは、コンテナやクラウド環境全体で脅威を検知するための単一のツールを提供し、スタック内のツールの数を減らすことで複雑さを軽減します。ユーザーは同じルール言語を使用して、ワークロードやインフラの一貫したポリシーを作成することができ、セキュリティギャップを取り除くことができます。サイバーセキュリティとDevOpsの両方で人材が不足しているため、脅威検知のための一貫したツールを使用して学習曲線を短縮することが重要です。ユーザーは、コンプライアンスフレームワークやベストプラクティスに対応した、コミュニティが提供するアウトオブボックスのルールを使って、すぐに使い始めることができます。また、標準的なYAMLコードを使用して、特定のニーズを満たすカスタムルールを作成することもできます。
Falcoのプラグイン機能は、他のクラウド環境およびオペレーティングシステムへのサポートを拡張するためのコントリビューションの基盤となります。AWS CloudTrailプラグインと、アウトオブボックスの追加ルールは、FalcoのGitHubサイトでプレビュー版としてすぐに試すことができます。また、Falcoのユーザーおよびコントリビューターは、現在、プレリリースのドキュメントにアクセスできます。正式なリリースは今後数ヶ月のうちに予定されています。
コミュニティからのコメント
”Falcoプラグイン機能は、DevOpsとセキュリティチームに、コンテナ環境とクラウド環境全体で単一のルール言語を備えた単一の脅威検出ツールを提供します。 これにより、ユーザーはワークロードとインフラストラクチャーに対して一貫したポリシーを作成し、セキュリティギャップを埋めることができますとCloud Native ComputingFoundationのCTOであるChrisAniszczyk氏は述べています。 現在、Falcoを追加のクラウド環境に拡張するためのコミュニティによる迅速なイノベーションの基盤が整っています。”“Sysdig社の創業者兼最高技術責任者であるLoris Degioanniは、「Falcoはストリーミングアプローチを用いて、コンテナやAWSクラウドサービス全体の脅威を検知できるようになりました」と述べています。ユーザーは、ログをコピーするコストや複雑さを伴わずに、ラテラルムーブメントの兆候を即座に警告することができます。”
リソース
- 技術的な詳細については、Falco Communityのブログ記事をご覧ください。
- プレビュー ドキュメントを見る
- GitHubでFalcoプロジェクトを確認する
- Falcoコミュニティに参加する
- ツイッターで @falco_org をフォローする
連絡先
Amanda Smith703-473-4051
[email protected]