本文の内容は、2023年9月27日にDANIEL SIMIONATOが投稿したブログ(https://sysdig.com/blog/inventory-search/)を元に日本語に翻訳・再構成した内容となっております。
Sysdigの改善されたインベントリ機能が、増え続けるクラウドインフラストラクチャー内部を最小限の労力で見つけ出すのにどのように役立つかをご覧ください。
クラウドの可視化という課題
マルチクラウドの世界では、エンドツーエンドの可視性を維持するという課題に圧倒されることがあります。
可視性そのものは、セキュリティを実現するために不可欠です。結局のところ、見えないものを保護することはできません。
一日を通して、あなたやあなたのチームはこう尋ねるかもしれません:
- ソース(IaCマニフェストなど)からマルチクラウドやKubernetes環境で稼働しているライブアセットまで、リソースを追跡するための統一された検索エクスペリエンスを得るにはどうすればよいでしょうか?
- どのリソースがセキュリティとコンプライアンスポリシーを遵守しており、どのリソースがコントロールに失敗しているかを識別するにはどうすればよいですか?
- 最初に修正すべきリソースの優先順位をどのように決めればよいでしょうか?
このようなさまざまなシナリオをナビゲートするには、動的な検索性と洞察を提供するソリューションが必要です。
Sysdig Secure Inventoryは、クラウドリソースに関する最も関連性の高い情報に迅速にアクセスできます。
インベントリーの紹介
Inventory は、データベースや資産のリストではありません。
Inventoryがあれば、クラウド・リソースの複雑なネットワークを管理できるだけでなく、直感的に操作できるようになります。
Inventoryは、包括的な可視性と動的な検索性を組み合わせたシームレスなインターフェイスを提供し、効果的なクラウドセキュリティポスチャー管理の要となります。
Inventory は、Sysdig Secure の広範なデータソースを単一の画面に効果的に統合します。リソースは定期的にスキャン・更新され、Sysdigはそのメタデータを脆弱性スキャンの結果、ポスチャーコントロールの評価、さらには特定のコンテナでどのパッケージが使用されているかなどのランタイム・インサイトと関連付けます。
それでは、いくつかの例を詳しく見ていきましょう。
動的なインベントリー検索による即時の可視化
あなたがAWS、Azure、GCP上の複数のクラウドアカウントを担当するセキュリティチームの一員であるとしましょう。
通常、すべてのクラウドリソースを可視化するには、3つの異なるウェブインターフェースを開き、複数のアカウントや組織を切り替え、ベンダー固有の命名規則やユーザーインターフェースの特殊性をナビゲートする必要があります。
コードリソースを可視化したい場合は、実際に関連するものを見つけるために、さまざまな git リポジトリを探し回る必要があるでしょう。
Inventoryを使えば、数回クリックするだけで、これらのすべてにアクセスできます。Kubernetesマニフェストやterraformテンプレートのようなコードリソースや、コンテナイメージのようなアーティファクトを含むすべてのクラウドリソースは、単一の、洗練された、検索可能なインターフェイスで利用可能です。
Inventoryでは、リソースのタイプ、オリジン、およびポスチャー、脆弱性、インターネットへの露出などのクラウドセキュリティの所見をすばやく確認できます。
ファイナンスネームスペースで特定のKubernetesワークロードを見つける必要がありますか?
そのネームスペースがどのクラスター、あるいはクラウドプロバイダーであるかを指定することなく、その場でダイナミックにフィルターを適用できます:
次に、特権として実行されているコンテナのような、特定のポスチャーコントロールに失敗しているすべてのコンピュートリソースを見つけたいとします。
この場合も、答えはフィルタリングで見つかります:
インターネットに公開されているすべてのリソースをフィルタリングすることで、クラウド境界の正確なリストを取得することもできます:
ランタイム・インサイトによるIn-Useエクスポージャーの優先順位付け
Inventory は、Sysdig のランタイム・インサイトを活用して検索機能を拡張します。
たとえば、公開エクスプロイトを伴う新たな注目度の高い脆弱性が存在する場合、インフラストラクチャー内で影響を受ける可能性のあるリソースの範囲を迅速に評価する必要があります。 そして、インターネットに公開され、脆弱なパッケージを実行しているリソースを優先的に修復する必要があります。
通常、インスタンスを担当するすべてのチームに、どのようなイメージが実行されているか、利用可能な SBOM があるかどうかを尋ねるか、インスタンスがサードパーティの商用ソフトウェアを実行している場合はベンダーの通知を待つ必要があります。
最終的な結果は、おそらく疑問符と “TBD “のセルがたくさんあるスプレッドシートのようになるでしょう。2、3日はかかるでしょうし、全員が総動員されるため、多くの頭痛の種になるでしょう。
同じ質問に Inventory を使用すると、まったく異なるものになるでしょう。 リソース タイプまたはカテゴリでフィルタリングし、目的の脆弱性のフィルタを追加し、脆弱なパッケージが使用されている公開インスタンスをフィルタリングするだけです。 すべて 1 分以内に完了できます。
Inventoryが他のツールと一線を画しているのは、ポスチャーと脆弱性スキャンから収集したデータに加えて、ランタイムのインサイトを追加している点です。
まとめ
静的なポスチャーチェックのみに依存する従来のソリューションとは異なり、Inventory はランタイムインサイト、クラウドインテグレーション、脆弱性スキャン、および定期的なクラウドセキュリティポスチャーコントロールを 1 つの効果的なビューに統合します。
ランタイムエージェントおよびクラウドインテグレーションからのリアルタイム情報は、ポスチャーおよび脆弱性チェックとシームレスに統合されています。
このインテグレーションは、環境に対する比類のない可視性を提供するだけでなく、すべてのリソースにわたって意味のあるコンテキストと調査結果を提供します。
Inventoryは、単にデータを再表示する他のツールとは異なり、各リソースを正確なコンテキストで補強することで、探しているものを迅速に見つけることができます。
包括的なクラウドインサイトにより、デジタルドメインを継続的に効果的に保護することができます。
Sysdigの検索可能なInventoryの詳細については、こちらをご覧ください:
- CNAPPの最新機能については、こちらの記事をご覧ください。
- 実際にデモをご覧になりたい場合は、Sysdigのエキスパートによる個別のライブデモをリクエストしてください。