本文の内容は、2022年2月2日にAlba Ferriが投稿したブログ(https://sysdig.com/blog/sysdig-secure-cloud-native-infraestructure/)を元に日本語に翻訳・再構成した内容となっております。
クラウドコンピューティングのメリットにより、あらゆる規模の企業によるクラウドサービスの導入が年々増加しています。運用コストの削減、市場投入までの時間短縮、使い勝手の良さ、信頼性の高さなどは、最も大きなメリットです。しかし、責任分担モデルを考慮に入れなければなりません。クラウドへのセキュリティ侵害はすでにいたるところで発生しており、すぐには衰えそうにありません。
クラウドプロバイダーのセキュリティサービスは増えていますが、そのようなツールではこれらの脅威に対応するニーズをカバーできないことが明らかになっています。しかし、彼らの主なビジネスは、クラウドコンピューティング、ネットワーク、またはストレージサービスを提供することです。彼らはセキュリティ・プロバイダーではありません。
想定されるシナリオを想像してみましょう。お客様はクラウド導入の初期段階にあり、数種類のIaaSまたはSaaSサービスしか実行していません。パブリック・クラウド・プロバイダーが提供するツールを使えば、簡単にセキュリティ・ポリシーを導入できます。AWS Security Hub、AWS GuardDuty、Azure Security Center、Azure Defender、Google Security Command Centerなどは、不審な行動を警告するセーフガードとして機能します。しかし、クラウド事業者から利用するサービスの数が増えれば増えるほど、セキュリティを第一級市民として置く必要性が明らかになってきます。これらのツールでは、クラウド環境のセキュリティを確保するのに十分ではないことに気づくかもしれません。
この記事では、クラウド・プロバイダーのセキュリティ・ツールを補完する必要があるいくつかの分野について説明し、それらを組み合わせることで、すべての脅威を解決したり、セキュリティ侵害のリスクを低減したりすることができます。
Sysdig Secureがどのようにして優れた可視性、コンテキスト、およびリアルタイムのクラウド脅威検知を提供するかについてのコンテンツを見逃した場合は、以下の記事をご覧ください。| ガイド: Azure Container Servicesのセキュリティと監視 | Read more |
| CloudTrailとFalcoによるAWS S3のセキュリティ | 続きを読む |
| 監査ログを利用したGCPにおける疑わしい活動の検出 | 続きを読む |
| SysdigでAmazon EKS Anywhereを保護する | 続きを読む |
| Sysdig SecureによるAWS IAMの保護 | 続きを読む |
| Amazon ECS Anywhereにおけるコンテナセキュリティ確保 | 続きを読む |
クラウド・プロバイダーのセキュリティ・ツールを使うだけでは不十分な場合
クラウド・プロバイダーが提供するセキュリティ・ツールがニーズに合っているかどうかを判断する前に、それぞれのツールが提供する機能性を探らなければなりません。第一級の脆弱性スキャナーが必須の場合(コンプライアンス要件を満たす必要がある、dockerfileのベストプラクティスを活用する必要がある、あるいは単にセキュリティのシフトレフトの原則を適用したい)、この目的のために特別に設計されたサードパーティのソリューションが必要になります。クラウドプロバイダーが提供する脆弱性スキャナーのほとんどは、設定オプションが少なく、そのチェックはCommon Vulnerabilities and Exposuresのサブセットに基づいています。
もちろん、お客様ご自身で調査することを妨げるつもりはありませんので、ここでは、3大パブリッククラウドプロバイダーのセキュリティサービスの中でも特に人気の高いものをご紹介します:
| セキュリティコントロール | AWS | Azure | GCP |
| Secure DevOps | |||
| CI/CD | CodePipeline, OpsWorks, CodeBuild, CodeDeploy | Azure Automation Azure Scheduler | GCP Deployment Manager |
| プロビジョニングテンプレート | CloudFormation | Azure Resource Manager | Cloud Deployment Manager |
| サービスカタログ | AWS Service Catalog | Azure Managed Applications | Google Cloud Platform Service Broker |
| セキュリティ評価 | Inspector | Security Center – Resource Security Hygiene | Cloud Security Command Center |
| Serverless Code | Lambda | Azure Functions | Cloud Functions |
| Insights | Systems Manager | Monitor | Stackdriver Monitoring |
| 検出 | |||
| DLP | Macie | Azure OMS, Security Center | Cloud DLP |
| アノマリー検知 | GuardDuty | Stream Analytics | Cloud Dataflow |
| 脆弱性スキャン | Inspector | Security Center | Scanner |
| 防御 | |||
| DDOS | Shield | DDOS Protection | Preset |
| MFA | Multi-Factor Auth | Azure MFA | Cloud Identity Aware Proxy |
| Web App FW | WAF | Application Gateway | |
| IAM | AWS Identity & Access Management Cognito | Azure AD/IAM | Cloud Identity and Access Management |
| Key 管理 | KMS | Azure Key Vault | Cloud KMS |
| 監査 | |||
| Log 管理 | CloudTrail | Log Analytics | Stackdriver |
| Config 管理 | Config | ||
| コンプライアンス | CloudHSM | Azure Trust Center and Key Vault | GCP Security |
| サービスカタログ | Service Catalog | Managed Applications | Service Catalog |
| 可視化 | |||
| SIEM | CloudWatch | Azure Portal and Azure Monitor | Stackdriver Monitoring/Logging |
| Config 評価 | Trusted Advisor | Azure Advisor | |
この表を見て少し圧倒されたと感じた方に朗報です:どのタイプのツールが自分の環境に最適かを決めるには、いくつかの要素があります。
クラウドプロバイダーのセキュリティサービスで十分なのか、それともサードパーティ製のツールがニーズに最適なのかを見極めるために、いくつかの質問を提案します。物理的なデータセンターはまだありますか?
オンプレミスとクラウドの両方のセキュリティ・リスクを管理するには、Amazon GuardDuty、Azure Advanced Threat Protection、Security Command Centerなどのクラウド・サービス・プロバイダーを利用することができます。残念ながら、これらのサービスは通常、クラウド環境でしか機能しないか、あるいはお客様を移行させる方法を模索しています。例えば、クラウドのデータセキュリティサービスのネイティブな暗号化を利用して、ローカルに保存しているデータを暗号化することはできません。別の例としては、クラウドのファイアウォールサービスを使ってローカルで動作するアプリケーションを保護することが考えられますが、それは、それらのアプリケーションとファイアウォールサービスを統合できるような、非常に面倒で高価なアーキテクチャーを設定した場合に限られます。
このような理由から、オンプレミスとパブリッククラウドの両方で大規模な事業を展開している企業は、サードパーティのソリューションを利用することを選択します。このシナリオでは、クラウド・プロバイダーのセキュリティ・ツールだけでは不十分で、クラウドとオンプレミスの両方の世界でセキュリティを確保するために、プロバイダーがより大きな同等性を提供するからです。
マルチクラウド環境で働いていますか?
マルチクラウド環境を管理しているクラウド事業者のチームは、リソースを管理し、日々発生する絶え間ない問題や脆弱性を評価する必要があります。これらのチームは、各クラウド・プロバイダーが提供するさまざまなセキュリティ・モニタリング・ツールのインサイトを継続的にチェックする必要があります。ここでの悪いニュースは、それらのクラウド・プロバイダーのセキュリティ・サービスは、しばしば相互に連携するように設計されていないということです。例えば、AWS Security HubはMicrosoft AzureやGoogle Cloud Platformと統合できませんし、Azure Security CenterはGCPやAWSと統合できません。しかし、ITチームがあるクラウドプロバイダーのセキュリティデータを別のクラウドプロバイダーのセキュリティ監視ツールに取り込むための複雑な統合機能を、手動で作成することは可能です。
しかし、その複雑さゆえに、通常はその価値はありません。むしろ、わざわざ独自の統合機能を構築するのであれば、ベスト・オブ・ブリードを選択した方が良いでしょう。
あなたのクラウドの旅はまだ不確かなものですか?
ここでは、クラウド・セキュリティに必要な高可用性、耐障害性、および弾力性について説明します。あなたのセキュリティ戦略にますます多くのユースケースが追加されていることにお気づきですか?クラウド・セキュリティのニーズと、それらが時間とともにどのように成長するかを考慮する必要があります。
クラウド環境の規模が大きくなると、その範囲や露出度も大きくなります。リスクを自動的に分析し、発生するすべてのことをコントロールする必要性が出てきます。
複数のクラウド・プロバイダーのツールからの情報を相関させるためには、アドホックなソリューションが必要になります。
人の問題と言ってしまえばそれまでですが
CloudTrailは非常に強力なサービスです。これを有効にすると、すべてのログが一か所に保存され、インシデントが発生した場合には、Athenaサービスで照会するだけで、探していたものが見つかるようになります。しかし、何を探せばいいのか、どうやって知ることができるでしょうか?
干し草の中の針を探しているようなものです。理想的なシナリオは、機能、通知、またはアラームのトリガーのような何らかのアクションを開発し、見たものに基づいてレスポンスを構築し、それによってアクションを可能にすることです。しかし、時間がなかったり、必要な知識を持ったエンジニアがいなかったりする場合は、あらかじめアクションが設定されているセキュリティツールを利用するのがよいでしょう。
クラウド・プロバイダーが提供するセキュリティ・サービスを有効にしても、当社のユースケースに完璧に対応できる可能性は極めて低いため、何らかのカスタマイズが必要になります。
コンプライアンスの全体像
ある人にとって、AWS Security HubやAWS Audit Managerは、コンプライアンスタイプのツールのようなものです。これらのツールは、PCI DSSやGDPRなどの特定のセキュリティ基準に照らして我々の環境をチェックする。また、AWSの基本的なセキュリティ・ベスト・プラクティスやCISのベンチマークが何であるかを示してくれます。これらのツールは、法的枠組みや一連のグッドプラクティスに照らし合わせて、自社がどの程度の成果を上げているかを示すスコアを提供してくれます。オンプレミスのインフラをお持ちですか?ローカルのデータセンターではどうでしょうか。
AWS Security HubはAWSクラウドのインフラでしか機能しないため、オンプレミスでのセキュリティ管理ができなくなります。
Azureも同じようにSecurity Centerを使っています。法的枠組みやセキュリティのグッドプラクティスの観点から、自社の立場を理解することは非常に重要です。クラウド環境だけであれば、今回のようなツールを活用することができるでしょう。そうでなければ、追加のツールが必要です。
CSPが空けたギャップを埋める
AWSがFargateタスクにランタイムセキュリティを提供する必要があったときのように、本当に特殊なユースケースをカバーする必要があることがあります。この話を聞いたことがない方は、こちらをご覧ください。クラウドプロバイダーが悪いと言っているわけではありません。彼らのビジネスはクラウドコンピューティングサービスを提供することにあります。すべての選択肢を考えてみると、彼らのリストには、提供できるサービスの可能性が幅広く含まれていることがわかります。
どこかの時点で、”我々が提供するサービスはこれだ “と線引きをしなければなりません。確かに、すべての人にとって完璧ではないかもしれませんが、可能性のあるユースケースの75%はカバーしていると思われます。
もしあなたのユースケースが除外されているのであれば、サードパーティのソリューションを検討する時期に来ていると言えるでしょう。
まとめ
クラウド・プロバイダーが提供するセキュリティ・ツールは、管理が容易です。すべてのコンピュートレイヤーとネイティブに連携しており、これは素晴らしいことです。しかし、クラウド・プロバイダーのツールを使ってセキュリティ・サービスをカスタマイズすることになるため、クラウド・プロバイダーに固執することになります。二度手間になるのは嫌ですよね?クラウド・プロバイダーが提供するこれらのセキュリティ・ソリューションには限界があります。クラウドを導入したばかりの段階では、デフォルトのオプションでも問題ないかもしれません。
しかし、クラウドの導入が進み、他のクラウド・プロバイダーへの移行を考えるようになると、マルチクラウド環境に対応しなければなりません。そのためには、すべてのクラウドに対応するソリューションが必要になります。クラウド・プロバイダーがカバーしていない部分を、ツールが補っていることを確認してください。
Sysdigのソリューションは、AWS、GCP、Azure、ハイブリッド・クラウド、マルチ・クラウド環境のクラウド・インフラストラクチャーとサービスの監視とトラブルシューティングを行うことで、パフォーマンスと可用性を最大化します。わずか数分で設定が完了します。今すぐお試しください!