Microsoft AzureにおけるSecure DevOps: クラウドとコンテナのリスクを軽減

By 川端 真 - JANUARY 6, 2022

SHARE:

Flow of a cloud lateral attack

本文の内容は、2022年1月5日にDurgesh Shuklaが投稿したブログ(https://sysdig.com/blog/secure-devops-microsoft-azure/)を元に日本語に翻訳・再構成した内容となっております。

Microsoft Azureは、アプリケーションを迅速に構築してクラウドへ展開したいと考えている企業にとって最適な選択肢です。しかし、クラウド・チームは、リスクを低減、管理、回避するために、DevSecOpsの実践方法を同時に検討する必要があります。Sysdigはマイクロソフト社と協力して、クラウドとコンテナのセキュリティを簡素化し、Azureのエコシステムに堅牢なSaaSベースのソリューションを提供します。

Securing Microsoft Azure with Sysdig - watch video

SysdigとMicrosoft Azure: クラウドとコンテナのセキュリティ

本日、SysdigはMicrosoft Azure向けSysdig Secureの追加機能の一般提供を発表しました。それに伴い、以下のような新しいクラウドセキュリティとコンプライアンスのコントロールを導入しました。
  • クラウド・セキュリティ・ポスチャー・マネジメント(CSPM):お客様の資産に合わせたCISベンチマークに基づいています。
  • クラウド脅威検知:Azure用のFalcoルールを使用して、Azure環境の脅威を特定します。
直ぐに試してみたい方は、Sysdig Secure for cloudをAzureに導入する方法をご参考下さい。以下では、Microsoft Azure上のコンテナ、Kubernetes、クラウドサービスのセキュリティの課題に取り組むためのSysdigの機能をご紹介します。

Microsoft Azureインフラストラクチャーへの脅威

設定ミスや攻撃からAzureインフラストラクチャーやワークロードを保護するための万能なアプローチはなく、綿密に練られた戦略が必要です。今日、攻撃する側が採用している戦術や技術は多岐にわたっています。また、悪意のある行為だけでなく、善意の従業員がベスト・プラクティスに従うことを知らずに行動することでも、リスクに直面する可能性があります。

最善の防御策は、開発から本番までの間に、検出とセキュリティプロトコルを二重化することです。Sysdigは、Microsoft Azureと連携することで、DevOps、サイバーセキュリティ、リスク管理の各チームがクラウド・セキュリティのベストプラクティスを実践し、組織の目標を達成できるよう支援しています。

Azure上のクラウドとコンテナの統合された構成管理と脅威検知

Microsoft Azureの脅威検知には、すべてのクラウド・サービスとコンテナを可視化する必要があります。そこにはセキュリティを確保すべきものが非常に多く存在します!アプリケーションの配信には、ホスト、仮想マシン、コンテナ、クラスター、蓄積された情報、入出力データストリームなど、多くの要素が必要です。そのすべてを適切に保護するには、どうすればよいのでしょうか?

朗報は、Microsoft Azureがクラウドサービスのセキュリティとメンテナンスに責任を持っていることです。これは、お客様が安心してクラウドを利用できるようにするための大きな要素です。しかし、実際には、ユーザーであるあなたも、適切な保護措置を講じなければなりません。

今回発表されたSysdigのクラウド・セキュリティ機能とコンテナ・セキュリティ機能を組み合わせることで、Microsoft Azureのアカウント、アプリケーション、サービスのセキュリティ・ベスト・プラクティスをより効果的に実現することができます。

sysdig azure feature image

クラウド・セキュリティ・ポスチャー管理とコンプライアンス

Microsoft Azureサービスの利用状況を把握するために、Sysdig SecureはCISなどのベンチマークに基づいて、クラウド・インフラストラクチャーの静的な構成分析を行うことができます。これにより、どこに設定ミスがあるかを確認することができます。さらに、ユーザ・インターフェース内にガイド付きの修復ステップを提供し、コンプライアンスを達成するためのアクションを支援します。

CIS Benchmarks for Azure in Sysdig
環境の構成を確認することで、IAMポリシーが安全であるかどうかを知り、アカウントのどのクラウドストレージバケットが公開されているかを確認し、どのVPCがIngressトラフィックを許可しているかなどを把握することができます。

Azure Activity Logsを利用したクラウド脅威の検知

Microsoft Azureサービスの利用が拡大すると、アクティビティの量が手動分析では管理できないレベルに達することがあります。短時間で脅威に対応できなければ、大きな影響を及ぼす可能性があります。

Azureアクティビティ・ログは、Microsoft Azureの管理イベントとクラウド・データへのユーザ・アクセスの両方を記録する、常にオンの監査証跡を提供します。Sysdigは、オープンソースのFalcoをベースにした豊富なセキュリティ・ルールに基づいてこのログ・データを分析し、Microsoft Azureの脅威を検知します。これにより、アクティビティのリアルタイム分析が可能となり、脅威への迅速な対応が可能となります。

Azure Falco rules library
Sysdigは、お客様の環境を安全に保つためのアウトオブボックスのルールを提供します。これには、例えば以下のような検知が含まれます。
  • Azure Auditing for SQL Serverの有効化/無効化
  • Azure Function Appの作成、削除、変更
  • Azure SSH、RDP、ユーザーアクセスの変更
  • Azure Containerの作成、削除、およびACLの変更
  • Azure Blobの作成と削除

Microsoft Azure MarketplaceにおけるSysdig

Sysdig Secure DevOps Platformは、Microsoft Azure Marketplaceで提供されています。これは、Microsoft Azureから購入してすぐに使い始めることができるということです。また、次のリンクから登録することで、Sysdigプラットフォームを試すことができます – 詳しくはこちらをクリックして、始めましょう

まとめ

Microsoft Azureとのパートナーシップにより、ユーザーの皆様のクラウドサービスやコンテナのセキュリティをより効果的に確保できることを嬉しく思います。

ここで紹介する新しいクラウドセキュリティ機能は、Microsoft Azureの可視性、セキュリティ、コンプライアンスを実現するためのこれまでの取り組みを基にしています。これには、Azure Kubernetes Service、Azure Container Registry、Github Actions、Azure Pipelinesのイメージスキャン、ランタイムセキュリティ、コンプライアンス、フォレンジックが含まれます。

クラウド、ワークロード、コンテナを一元的に把握することで、攻撃の検知と対応にかかる時間を短縮することができます。Microsoft Azureのセキュリティに関するベストプラクティスをさらに詳しく知りたい方は、ウェビナー「Securing Microsoft Azure Cloud and Containers」をご覧ください。