本文の内容は、2022年7月25日にDurgesh Shuklaが投稿したブログ(https://sysdig.com/blog/tackle-cloud-native-adoption-and-security-hurdles-with-coforge-and-sysdig/)を元に日本語に翻訳・再構成した内容となっております。
このブログは、Ashu Deep Saxena (Senior Practice Lead, Cloud Modernization, Coforge) と Sandeep Kumar (Lead Solution Architect, Sysdig) と Durgesh Shukla (Sr PMM, Sysdig) によるゲストブログです。
最新のクラウドネイティブパラダイムを活用したいという思いから、多くの企業がKubernetesとコンテナ化されたアプリケーションの運用を急ぐことを余儀なくされています。多くの場合、クラウドネイティブの導入に伴う誤った期待は、運用チームが既存のセキュリティや運用の手法、ワークフロー、ツールをこれらの新しいソフトウェア開発プラットフォームに簡単に移行でき、すべてが以前と同様に機能することです。しかし、コンテナやマイクロサービスには新たな抽象化が加わっており、アプリケーションで何が起こっているのかを可視化することは非常に困難になっています。コンテナの刹那的な性質と利用可能なツールのブラックボックス的な性質を組み合わせると、セキュリティインシデント、コンプライアンス違反、またはパフォーマンスの問題を分析するための深いデータを得ることが非常に困難になることを意味します。
古いパズルに新しい複雑さが加わったもの
ここ数年、情報技術の世界では大きな進歩がありました。しかし、技術の進歩に伴い、サイバーセキュリティと情報セキュリティに関する脅威も飛躍的に増大しています。これらは当然ながら、CIOやITリーダーにとって重要な論点となっており、その理由をいくつかご紹介します。- サーバーレス機能やマネージド・コンテナ・サービスなどのクラウド・サービスでは、監視のための計装要件が追加されています。
- コンテナやオーケストレーター主導のマイクロサービスの基本構造は、VMやサーバーベースのアプリケーションとは大きく異なります。ほとんどの場合、従来のセキュリティおよびパフォーマンス管理ツールでは、システムのリスク、健全性、およびパフォーマンスを理解するためのコンテキストを提供することができません。
- クラウドネイティブアーキテクチャの中心的な技術の1つであるKubernetesは、現状ではデフォルトで安全とは言えず、特にコンテナ間でカーネルを共有しているためにその傾向が強いと言えます。また、Kubernetesには、脆弱性や悪用によるコンテナへの不正侵入につながる権限昇格の問題があります。
Coforgeのクラウド導入・運用の経験
Coforge(旧NIIT Technologies)は、技術教育に強いルーツを持っており、実際、1981年にITトレーニング会社として設立されました。NIIT Limitedは、数年のうちにサービスを拡大し、コンサルティング、ソフトウェアソリューション、ビジネスプロセスアウトソーシングを手がけるようになりました。Coforgeは、クラウドとコンテナを採用するお客様を支援するユニークな立場にあります。- Coforgeは、2000人以上のクラウド専門家を抱え、保険、旅行、交通、ホスピタリティ、銀行、金融サービス業界を中心とした250社以上のお客様をグローバルにサポートしています。近年は、小売、公共、ヘルスケア&ライフサイエンス、ハイテク、製造業などにも進出し、複雑なデジタル化の課題解決に取り組んでいます。
- コフォージは、25のデリバリーセンターに20,000人以上の社員を擁し、イノベーションと市場への迅速な対応を実現し、近代化、変革、優れたソリューションの提供を目指します。
お客様に最適なソリューションを提供するために、コフォージは複数のツールを評価し、それらのツールの導入と運用を支援するサービスを提供しています。例えば、クラウドのセキュリティと可視化については、以下のような主観的かつ加重的な基準に基づいてツール評価を行いました。
- 侵入検知能力、記録能力、運用管理能力
- 導入、運用、拡張の簡便さ
- オープンソースとクローズドソースの比較
- インシデントレスポンスとフォレンジック機能
- ワンストップソリューション
Coforgeは、複数の概念実証を経て、コンテナソリューションとサービスの提供にSysdigを採用することを決定しましたが、その主な理由は以下のとおりです。
- Sysdig は一貫してソート・リーダーシップを発揮し、クラウドとコンテナのセキュリティの標準を推進しています。
- Sysdigのプラットフォームを利用することで、セキュリティインシデントの可能性を残す問題や潜在的な攻撃の指標を容易に発見し、それに集中することができます。
- チームは、脅威や異常の検出と対応、アプリケーションの脆弱性の発見、優先順位付け、修正、クラウドの設定、権限、コンプライアンスの管理を行うことができます。
- Sysdigプラットフォームは、クラウドとコンテナ環境全体のリスクを死角なく一望できます。このプラットフォームは、既存のツールとの統合を容易にするオープンスタンダードに基づいて構築されています。
今回の提携によるお客様のメリット
CoforgeとSysdigは、新しいクラウドネイティブパラダイムにおけるお客様の成功を可能にするという共通の価値観に根ざした戦略的パートナーシップを締結しています。このパートナーシップは、お客様がワークフローを容易に移行し、コンテナやクラウドサービス上に構築されたアプリケーションへと移行できるようにすることを目的としています。
Coforgeのコンテナサービスは、コンテナ導入のすべての段階においてお客様を支援します。これには、採用戦略と評価、各種コンテナプラットフォームの設計と実装、コンテナ内のアプリケーションの展開・移行・管理などが含まれます。Coforgeのクラウド、インフラ、アプリケーションのモダナイゼーションに関する深い専門知識と能力、Sysdigのセキュリティとモニタリングの専門知識を背景に、お客様独自の可観測性、セキュリティ、コンプライアンスのニーズに合わせたクラス最高のソリューションが提供されるため、お客様は安心してご利用いただけます。Coforgeは、クラウドネイティブのエコシステムとSysdigのプラットフォームを深く理解したクラウドセキュリティの専門家チームを構築し、お客様を支援するためにさらなる投資を行っています。
Sysdigプラットフォームの最大の特徴を再確認すると、以下のような機能があります。
- IaCのソースファイルからクラウドサービスまでの設定ミスを統一されたポリシーで検出します。
- コンテナ、ホスト、クラウドにまたがる実行時の脅威を検出し、対応します。
- コンテナやホストの脆弱性管理を統一する。また、実行時のコンテキストとリスクに基づいて、脆弱性の優先順位をより適切に設定します。
- クラウドインフラストラクチャエンタイトルメント管理(CIEM)により、最小特権アクセスポリシーを適用し、クラウドのリスクを軽減します。
- コンテナとクラウドの規制基準(CISベンチマーク、NIST 800-53、SOC2、PCI-DSSなど)を満たすために、すぐに使えるチェック機能でコンプライアンスを実現します。コンテナとホストのFile Integrity Monitoring (FIM)を有効にします。
- コンテナ、Kubernetes、クラウドサービスの監視 – クラウドとKubernetesのコンテキストを持つ詳細データを使用して監視とトラブルシューティングを行うことにより、クラウドネイティブなアプリケーションのパフォーマンスを最大化し、可用性を確保することができます。
SysdigとCoforgeの連携により、お客様は最適化されたクラウド環境でアプリケーションを活用できます。迅速な開発と提供、継続的なイノベーション、ビジネスとテクノロジーの運用の拡張、資本コストの運用コストへの置き換え、ユーザー、データ、リソースを守るために必要なセキュリティと可視化が実現します。