Secure DevOps を始めましょう


さらに詳しく

可視性とセキュリティの実装によりデプロイを迅速化

アプリケーションの健全性やセキュリティが可視化されていれば、チームはクラウドアプリケーションのデリバリに専心することができます。しかしながら実際の開発プロセスでは、多くの場合、開発とデプロイが優先され、アプリケーションの健全性やセキュリティ、コンプライアンスの管理については後回しになりがちです。

ツールの自動化と統合で DevOps を加速

優秀な DevOps チームは、ソフトウェアのデリバリと運用に関するパフォーマンスメトリクスに基づいて、積極的にツールを自動化し、ツールチェーンに統合しています。ただし、この手法はモニタリング分野では非常によく活用されているものの、セキュリティ分野ではそれほどでもありません。実際、こうしたチームの 57% が本番環境のモニタリングツールとオブザーバビリティツールを統合しているのに対し、セキュリティテストを自動化しているチームは 31% にとどまります。[1]

現時点ではセキュリティの統合はモニタリングの統合に比べて遅れていますが、規制や内部ポリシーから課される要件を考えれば、いつかは必ずセキュリティやコンプライアンスを DevOps ワークフローに取り込む必要に迫られます。

Secure DevOps

Secure DevOps(または DevSecOps)では、開発から本番運用までのアプリケーションライフサイクル全体にわたりセキュリティ保護とモニタリングを実施し、それによりセキュアで安定した、高パフォーマンスのアプリケーションデリバリを実現します。

このワークフローを既存のツールチェーンに組み込むことで、DevOps チーム、開発者チーム、セキュリティチームは信頼できる単一の情報源を共有できるようになり、作業効率が飛躍的に向上します。SaaS ファーストなプラットフォーム、シンプルなユーザーエクスペリエンス、すぐに使えるワークフローを備える Sysdig で、コンテナと Kubernetes のモニタリングと保護を即座に開始できます。

新着情報 SaaS を活用した Secure DevOps今すぐ読む

Secure Devops の 5 つの重要なワークフロー


Sysdig Five Essential Workflows for Secure Devops

イメージスキャン さらに詳しく

  • 既知のソフトウェア脆弱性のスキャンでは、開発者が導入する可能性のあるサードパーティのライブラリも考慮します。
  • CI/CD パイプラインやレジストリへスキャンを組み込むことができます。Kubernetes アドミッションコントローラを利用して、リスクのあるイメージのデプロイを防ぎます。
  • Open Policy Agent(OPA)と統合し、高度なポリシー決定を行うことができます。
  • ビルドの構成(Dockerfile 指示)やイメージの属性(サイズやラベルなど)を検証します。
  • 大規模なマルチクラウド Kubernetes 環境全体にわたり、新たな脆弱性を特定し、ただちにアラートを通知します。
  • ローカルでのスキャンにより、イメージを常に完全に制御します。

ランタイムのセキュリティ さらに詳しく

  • 事前定義したポリシーに基づいて、実行時の異常なアクティビティを検出します。
  • 標準的なセキュリティフレームワーク(MITRE ATT&CK、FIM、クリプトマイニングなど)に対応したコミュニティ主導のルールを提供する、Falco などのオープンソースのランタイム検出ツールを活用できます。
  • クラウドや Kubernetes の豊富なコンテキストに基づいて厳密なポリシーを適用することで、ノイズを低減します。
  • 対応アクションでコンテナを停止または強制終了して脅威をブロックし、自動で修復します。

コンプライアンス さらに詳しく

  • あらかじめ用意されている、PCI や NIST などの標準的なコンプライアンスフレームワークに対応したルールで、コンプライアンスを検証します。
  • Docker と Kubernetes の CIS ベンチマークを活用して、セキュリティのベストプラクティス(特権コンテナを実行しない、コンテナを root で実行しないなど)に従っているかどうかを確認します。

アプリケーションとクラウドサービスのモニタリング さらに詳しく

  • お使いのバックエンドサービスに合わせて、事前構築されたダッシュボードテンプレートを使用できます。
  • アプリケーションのパフォーマンスを Kubernetes インフラストラクチャに相関付けることで、根本原因を迅速に特定します。
  • Prometheus と完全に互換しているため、開発者への既存投資が活かされます。
  • Prometheus の統合は、アプリケーションとクラウドサービスのモニタリングのためにあらかじめ構成され、サポートされており、時間を節約できます。

Kubernetes とコンテナのモニタリング さらに詳しく

  • コンテナ、クラウド、Kubernetes 環境が自動検出され、掘り下げて分析することができます。
  • すぐに使えるダッシュボードで、アプリケーションとコンテナのパフォーマンスが可視化されます。
  • ノード、ネームスペース、クラスタ、メトリクス、タグにまたがるアラート通知を簡単に設定できます。
  • リソースの使用率と容量を最適化することで、コストが低減します。

コンテナと Kubernetes を使用した高度なワークフローの実現

  • 高度なトラブルシューティング - 診断の難しい問題でも、きめ細かなシステムレベルのキャプチャデータと詳細トポロジマップを調査することでトラブルシューティングでき、MTTR が短縮されます。
  • ML ベースの異常検知 - 機械学習ベースのイメージプロファイリングを活用するため、大規模なランタイムポリシーを作成する際の手作業が軽減されます。
  • 脅威防止 - パフォーマンスに影響しない Kubernetes ネイティブなコントロールで脅威をブロックします。
  • インシデント対応とフォレンジック - Kubernetes とクラウドのコンテキストで、システムコールなどの攻撃前後のアクティビティのスナップショットを使用することにより、コンテナが消えた後でも詳細なフォレンジックを実行できます。
  • コンプライアンスコントロールの拡張 - そのまま使える 400 種類以上ものチェックで、多様なコントロールについてのコンプライアンス状況を継続的に検証できます。

SaaS ファーストなプラットフォームで効率とイノベーションを加速


SaaS ベースのソリューションは、オンプレミスソリューションに比べ、より多くのメリットがあります。

スケーラブルなサービス: 少数のイメージのモニタリングと保護から始めて、コンテナアプリケーションの増加に応じてスケールアップしていくことができます。バックエンドでのデータ管理を気にする必要はありません。

迅速な実装: インストールや設定に時間がかかるオンプレミスアプリケーションとは異なり、使用中の DevOps ツールにすばやく組み込んで(CI/CD パイプラインへのスキャンの組み込みなど)数分で利用を開始できます。

アップグレードとメンテナンスが容易: SaaS プロバイダがパッチを管理して機能更新を行うため、手動でアップグレードを行う必要はありません。

インフラストラクチャやスタッフのためのコストが不要: 組織内のハードウェアとソフトウェアに対し、永続的な所有権を得るためのライセンス料を支払う必要がありません。また、アプリケーションのメンテナンスとサポートを行うオンサイトスタッフも不要です。


Sysdig Secure DevOps Platform


ビルド

脆弱性
構成

CI/CD Tools

Sysdig Secure image scanning integrates directly into your CI/CD pipeline and prevents images with vulnerabilities or misconfigurations from being shipped.

Registry

Sysdig Secure container image scanning supports all Docker v2 compatible registries. It ensures an up to date risk posture and identifies images that need to be rebuilt if new vulnerabilities are introduced.

運用

メトリクス
イベント
セキュリティポリシー

アプリケーション

Sysdig provides runtime security, infrastructure and application monitoring to help you ship cloud applications faster to production.

クラウド

Sysdig secures and monitors containers on multiple cloud platforms.

Sysdig ServiceVision enriches container data with the metadata from the cloud providers.

Orchestrator

Sysdig supports any orchestrator, multiple Kubernetes distributions, as well as managed platforms.

Sysdig ServiceVision enriches container data with the metadata from Kubernetes/orchestrators. Sysdig uses the native facilities of Kubernetes for policy enforcement and threat prevention.

インフラストラクチャ

Sysdig ContainerVision provides deep visibility into all container activity via a lightweight instrumentation model that collects low level system call data.

対応

アラート
監査ログ
イベント
Syscall
のキャプチャ

アラート

Configure flexible alerts on image scanning failures, runtime anomalous activity, troubleshooting issues etc through channels you already use (e.g., Slack, PagerDuty, SNS, etc.).

SIEM と SOAR の統合

Sysdig automatically forwards events to your SIEM tool giving SOC analysts deep visibility into container and Kubernetes incidents. It also integrates with SOAR platforms (Demisto, Phantom) as part of automated security playbooks.

SaaS

セルフホスト

Sysdig Secure DevOps Platform

Confidently run cloud-native workloads in production using the Sysdig Secure DevOps Platform. With Sysdig, you can embed security, validate compliance and maximize performance and availability. The Sysdig platform is open by design, with the scale, performance and usability enterprises demand.

30 日間の無償トライアルを数分で開始

すべての機能に完全にアクセスでき、クレジットカードは不要です。

Frequently Asked Questions

Q: Secure DevOps とは何ですか?

A: Secure DevOps、または DevSecOps は、DevOps 環境を保護するための規範であり、ビルド、運用、テスト、リリース、メンテナンスを始めとするソフトウェア製品のライフサイクル全体にわたるセキュリティのチェックおよびレビューの実施などが含まれます。

Q: DevOps と Secure DevOps の違いは何ですか?

A: DevOps も Secure DevOps も、ソフトウェアの開発サイクルを通じて同様の手法、自動化、コラボレーションを利用します。 Secure DevOps は、DevOps ワークフローにセキュリティを組み込んで、アプリケーションデリバリを遅らせることなくリスクを管理するものです。

Q: 継続的な CSPM(Cloud Security Posture Management)とは何ですか?

A: 継続的な CSPM(Cloud Security Posture Management)とは、静的なチェックと継続的なクラウド脅威検出を 1 つのワークフローに統合したものです。クラウドの不適切な構成(クラウド API を介して構成メタデータを使用)とアカウントとサービス全体のリスクのある行動(AWS CloudTrail や GCP 監査ログなどのクラウドアクティビティログを使用)を相関付けることでリスクを低減します。