本文の内容は、2021年11月11日にEric Carterが投稿したブログ(https://sysdig.com/blog/sysdig-suse-security-visibility-for-suse-rancher/)を元に日本語に翻訳・再構成した内容となっております。
SUSE Rancherのようなクラウドネイティブ環境のセキュリティを確保するには、固有の考慮事項が必要です。コンテナのような新しい抽象概念や、Kubernetesでオーケストレーションされた環境の動的な性質は、特にコンテナやクラウド向けに設計されていないレガシーツールにとっては、可視性を妨げる要因となります。そこでSysdigとSUSEは、SUSE One Partner Solution Stackを立ち上げ、共同ソリューションを紹介するだけでなく、お客様が簡単に始められる方法を提供します。
なぜSysdigとSUSE Rancherなのか?
SysdigとSUSEは、すでに多くの共同顧客を持っています。これらのお客様は、RancherとSysdigのプラットフォームを組み合わせて、シンプルで一貫性のあるクラスターの運用、監視、セキュリティを実現しています。Rancherに馴染みのない方は、suse.comのRancher製品ページをご覧になることをお勧めします。私の視点でまとめてみます。一言で言うと、RancherはDevOpsチームがKubernetesを使ったアプリケーションをコアからクラウド、エッジまでデプロイするのに役立ちます。Rancherは、プロビジョニングや診断などのKubernetesクラスターの運用を簡素化します。また、セキュリティの観点からも、Rancherは、クラスターがどこで稼働しているかに関わらず、すべてのクラスターに対して一貫したユーザ・アクセスとセキュリティ・ポリシーを適用し、プロセスを自動化することができます。
SysdigはどのようにRancherユーザを支援するのでしょうか?
クラウドネイティブ・インフラストラクチャー上でアプリケーションのフローを管理する際に、DevOpsチームは多くのことを考えなければなりません。その中でも大きなものは、セキュリティとパフォーマンスです。Sysdigは、コンテナをネイティブにサポートするオープンソースのLinuxシステム探査およびトラブルシューティング・ツールとして誕生しました。それ以来、私たちはFalcoなどの追加プロジェクトでイノベーションを起こしてきました。そして、オープンソース・スタック上に構築されたSaaSベースのセキュリティとモニタリングを提供するまでに成長しました。私たちのスーパーパワーは可視性です。Sysdigでは、コンテナやKubernetesクラスターなどの実際の挙動に簡単にアクセスできます。この可視性を中心に、コントロール、その他の便利な機能やワークフローが構築されており、コンテナ、Kubernetes、クラウドのセキュリティと監視の作業を簡素化します。
上の図では、オンプレミスとクラウドの両方でRancherユーザーを支援する多くの機能を見ることができます。例えば、以下のようなものです。
- イメージスキャン – 開発者やDevOpsチームがCI/CDパイプラインやレジストリにあるコンテナイメージの脆弱性を特定し、解決するのに役立ちます。
- ランタイムセキュリティ – セキュリティおよびDevSecOpsチームが、実行中のコンテナ、クラスター、クラウドにおける予期せぬ悪意のあるビヘイビアを検出する方法を提供します。
- クラウドセキュリティ – パブリッククラウド・インフラストラクチャーとサービスの構成がベストプラクティスに従っていることを保証します。
- Kubernetes、Prometheus、クラウド監視 – クラウドインフラストラクチャーのパフォーマンスと、アプリケーションを動かすサービスとの関連性を表示します。