本文の内容は、2021年9月28日にEric Carterが投稿したブログ(https://sysdig.com/blog/secure-devops-google-cloud/)を元に日本語に翻訳・再構成した内容となっております。
Google Cloudは、企業がアプリケーションをかつてないほど高速に構築・デプロイする事に貢献しています。そして、同時にクラウドチームは、リスクを回避するためにSecure DevOpsプラクティスをどのように実装するかを検討する必要があります。当社は、Google Cloudとの提携により、クラウドとコンテナの保護を簡素化するセキュリティソリューションをクラウドチームに提供しています。
本日、私たちはGoogle Cloudとの協業を発表しました。それに伴い、Google Cloud上で動作する当社のSaaS(Software-as-as-Service)プラットフォームだけでなく、いくつかの新しいクラウドセキュリティおよびコンプライアンスコントロールを導入しました。この記事では、新機能を紹介するとともに、Sysdgの機能を活用して、Google Cloud上のコンテナやKubernetes、クラウドサービスのセキュリティに関する課題に取り組む方法を詳しく説明します。
Google CloudでSecure DevOpsを実現:クラウドとコンテナのリスクを軽減
クラウドとコンテナの脅威に備える
クラウドインフラストラクチャーやワークロードを災難や攻撃から守ることに対して画一的な方法がありません。現在、脅威となる行為者が採用している戦術や技術は多岐にわたります。また、悪意のある行為だけでなく、善意の従業員がベストプラクティスに従わずに行動することでもリスクに直面する可能性があります。最善の防御策は、開発から本番に至るまで、検出とセキュリティ対策を確実に実行することです。Sysdigは、Google Cloudと連携することで、DevOps、サイバーセキュリティ、リスクの各チームがクラウドセキュリティのベストプラクティスを実践し、組織の目標を達成できるよう支援します。
Google Cloudとコンテナの構成管理と脅威検知の一元化
Google Cloudの脅威検知には、すべてのクラウドサービスとコンテナを可視化する必要があります。セキュリティを確保すべき対象がたくさんあります! アプリ配信には、ホスト、仮想マシン、コンテナ、クラスター、蓄積された情報、入出力データストリームなど、さまざまな要素が必要です。これらすべてを適切に保護するにはどうすればよいのでしょうか。幸いなことに、Google Cloudは自社のクラウドサービスのセキュリティとメンテナンスに責任を持っています。これは、お客様が安心してクラウドを利用できるようにするための大きな要素です。しかし、実際には、ユーザーであるあなたも適切な保護を行わなければなりません。
今回発表されたSysdigのクラウドセキュリティ機能と、Sysdigのコンテナセキュリティ機能を組み合わせることで、Google Cloudのアカウント、アプリケーション、サービスに対するセキュリティのベストプラクティスをより効果的に実現することができます。
クラウドセキュリティポスチャーの管理とコンプライアンス
Google Cloudサービスの利用状況を把握するために、Sysdig SecureではCISなどのベンチマークに基づいて、クラウドインフラストラクチャーの静的な構成分析を行うことができます。これにより、どこに設定ミスがあるのかを確認することができます。さらに、ユーザインターフェース内にガイド付きの修復ステップを提供していますので、コンプライアンスを達成するためのアクションも支援しています。
Google Cloud の CIS ベンチマーク
クラウド構成とコンプライアンスのチェック
環境の構成をチェックすることで、IAMポリシーが安全かどうかを知り、アカウント内のどのクラウドストレージバケットが公開されているかを確認し、どのVPCがイングレストラフィックを許可しているかなどを把握することができます。クラウド監査ログによるクラウド脅威の検知
Google Cloudサービスの利用が拡大すると、アクティビティの量が増え、手動での分析では管理しきれなくなる可能性があります。短時間で脅威に対応できなければ、大きな影響を及ぼす可能性があります。クラウド監査ログは、Google Cloudの管理イベントとクラウドデータへのユーザアクセスの両方を記録する、常にオンの監査証跡を提供します。Sysdigは、このログデータを、オープンソースのFalcoをベースにした豊富なセキュリティルールに照らし合わせて分析することで、Google Cloudの脅威を検知します。これにより、アクティビティのリアルタイム分析が可能になり、脅威への迅速な対応が可能になります。
Sysdigは、お客様の環境のセキュリティを確保するために、アウトオブボックスのルールを提供しています。これには、例えば以下のような検出が含まれます。
- 未使用の領域で実行されたコマンド
- コーポレートアカウント以外による操作
- 非コーポレートアカウントへの招待状の送信
- スーパーアドミンによるコマンドの実行
- VMインスタンスにおけるOSログインの無効化の疑い
- VMインスタンスでシールドが無効になっている
- バケットの作成または削除
- 最新のランタイムを使用していないクラウド機能の作成
- DNSSECのないDNSゾーンの作成またはパッチ
- クラウド SQL インスタンスですべての受信接続に SSL を使用する要件を無効にする
- クラウドSQLインスタンスの自動バックアップを無効にする
- サブネットフローログの無効化
- シンクの更新、無効化、および削除
- VMインスタンスでプロジェクト全体のSSHキーを有効にする
- VMインスタンスでシリアルポートへの接続を有効にする
- モニタリングアラートの削除
Falco Rules によるリアルタイム Google Cloud 脅威検知
Google CloudのChronicleを利用した高度な脅威探索の実現
Sysdigは、さまざまな種類のセキュリティデータをサードパーティのSIEMプラットフォームやロギングツールに送信することをサポートしています。この機能を拡張して、Google Cloudのセキュリティリスク管理プラットフォームであるSecurity Command Centerにイベントを配信する事ができます。今回、このイベント転送機能を利用して、Sysdigが検出したセキュリティイベントをGoogle CloudのChronicleセキュリティ分析プラットフォームに直接送信することも可能です。Chronicleクラウドサービスは、膨大な量のセキュリティやネットワークの遠隔測定データを非公開で保持、分析、検索することができます。Chronicleは、データの正規化、インデックス化、相関、分析を行い、リスクのある活動に関する分析とコンテキストを即座に提供します。
今回の統合により、Sysdig社が提供するユニークなデータを用いてChronicleの機能を拡張することができます。これには、Kubernetesのセキュリティ、コンテナ、およびプロセスレベルのイベントが含まれます。このイベント情報を取り入れることで、高度な脅威探索やセキュリティ分析を行い、クラウドネイティブワークロードの平均検出時間(MTTD)を短縮し、対応を迅速化することができます。
Google CloudのChronicleへのSysdigのイベント転送Google Cloud上のSysdig SaaS
ダイナミックなクラウドネイティブ環境の要求に応えるために、可視性とセキュリティのソリューションはますますクラウドに移行しています。クラウドベースのSaaS(Software-as-a-Service)により、企業はハードウェアへの依存から解放され、必要な場所でサービスをインスタンス化することができます。Sysdig SaaSがGoogle Cloudで利用できるようになったことで、Google Cloudを好むお客様は、バックエンドのデータ管理を気にすることなく、迅速にサービスを開始し、成長することができます。Sysdig SaaSには多くの利点があります:
- 迅速なスタートアップ:数分で起動し、DevOpsツールにプラグインすることができます(例:CI/CDパイプラインにスキャンを組み込む)。
- 簡単なスケールアップ:少数のイメージやクラウドサービスを監視してセキュリティを確保し、バックエンドのデータ管理を気にすることなく、フットプリントの拡大に合わせてスケールアップできます。
- インフラストラクチャのコストが不要:セキュリティとモニタリングを実行するための永久所有権を持つハードウェアとソフトウェアのライセンスを自社で購入する必要がありません。
- シンプルなメンテナンス:メンテナンスとサポートのためのオーバーヘッドを取り除きます。Sysdigは、SaaSの新機能アップデートやパッチのロールアウトを中断することなく行います。
クラウドセキュリティ向けの無料ティア
最後に、Google Cloudの新機能として、継続的なクラウドセキュリティの無料ティアがあります。これを利用すると、Google Cloudアカウントの1つに対して、クラウドセキュリティの管理を永久に無料で始めることができます。これには、CISベンチマークに対する毎日のチェック、クラウド監査ログと合わせたクラウド脅威の検知、月に250イメージまでのインラインコンテナイメージスキャンなどが含まれます。無料版は、Google Cloud Marketplaceから入手できます。詳しくはこちらをご覧ください。まとめ
Google Cloudとの提携により、共同のお客様がクラウドサービスやコンテナをより効果的に保護できるようになることを嬉しく思います。今回紹介した新しいクラウドセキュリティ機能は、Google Cloudコンテナサービスの可視化、セキュリティ、コンプライアンスを実現するためのこれまでの取り組みをベースにしています。これには、GKE、Anthos、Cloud Run、Cloud Build、Google Container Registry、Artifact Registryのイメージスキャン、ランタイムセキュリティ、コンプライアンス、フォレンジックが含まれます。
クラウド、ワークロード、コンテナを一元的に把握することで、攻撃の検知と対応にかかる時間を短縮することができます。Google Cloudセキュリティのベストプラクティスをさらに詳しく知りたい方は、ブログ「GCP Security Best Practices to Adopt in Production」をご覧ください。