クラウドワークロード保護プラットフォーム

クラウド環境全体のコンテナとサーバーレスワークロードを保護します。CI/CD パイプラインとレジストリ(ECR や GCR など)内のスキャンを自動化し、ランタイムスキャンを実行します。Falco を使用してランタイム脅威を正確に検出し、対応します。PCI、NIST 800-53、SOC2 などの基準にコンテナが準拠しているかどうかを検証します。


無償トライアルを開始

ライフサイクル全体のクラウドワークロードの保護

Sysdig Icon - Open Source

デプロイメント前と実行時のスキャンを自動化

イメージを環境に残したまま、CI/CD パイプライン、レジストリ、および実行時のコンテナをスキャンします。

Sysdig Icon - Runtime Security

脅威の検出とインシデント対応

Falco をベースとしたすぐに使えるポリシーで、クラウドワークロードの異常なアクティビティを検出します。

Sysdig Icon - App Cloud Service Monitoring

オープンスタンダードに基づく確実な保護

コミュニティが提供するルールを使用して、脆弱性チェックと検出の範囲を最大限に広げます。

ビルド

脆弱性
構成

CI/CD Tools

Sysdig Secure image scanning integrates directly into your CI/CD pipeline and prevents images with vulnerabilities or misconfigurations from being shipped.

Registry

Sysdig Secure container image scanning supports all Docker v2 compatible registries. It ensures an up to date risk posture and identifies images that need to be rebuilt if new vulnerabilities are introduced.

運用

メトリクス
イベント
セキュリティポリシー

アプリケーション

Sysdig provides runtime security, infrastructure and application monitoring to help you ship cloud applications faster to production.

クラウド

Sysdig secures and monitors containers on multiple cloud platforms.

Sysdig ServiceVision enriches container data with the metadata from the cloud providers.

Orchestrator

Sysdig supports any orchestrator, multiple Kubernetes distributions, as well as managed platforms.

Sysdig ServiceVision enriches container data with the metadata from Kubernetes/orchestrators. Sysdig uses the native facilities of Kubernetes for policy enforcement and threat prevention.

インフラストラクチャ

Sysdig ContainerVision provides deep visibility into all container activity via a lightweight instrumentation model that collects low level system call data.

対応

アラート
監査ログ
イベント
Syscall
のキャプチャ

アラート

Configure flexible alerts on image scanning failures, runtime anomalous activity, troubleshooting issues etc through channels you already use (e.g., Slack, PagerDuty, SNS, etc.).

SIEM と SOAR の統合

Sysdig automatically forwards events to your SIEM tool giving SOC analysts deep visibility into container and Kubernetes incidents. It also integrates with SOAR platforms (Demisto, Phantom) as part of automated security playbooks.

SaaS

セルフホスト

Sysdig Secure DevOps Platform

Confidently run cloud-native workloads in production using the Sysdig Secure DevOps Platform. With Sysdig, you can embed security, validate compliance and maximize performance and availability. The Sysdig platform is open by design, with the scale, performance and usability enterprises demand.

 

CI/CD、レジストリ、およびランタイムスキャンの自動化

イメージをクラウドアカウント内に残したまま、CI/CD パイプラインとレジストリ(ECR や GCR など)のスキャンを自動化します。ランタイムスキャンを実行し、脆弱性をアプリケーション/開発チームにマッピングします。

サーバーレスコンテナのスキャンを自動化

AWS Fargate サーバーレスコンテナをクラウドアカウント内で自動的にスキャンすることで、機密データを保護します。

Falco を使用してランタイム脅威を正確に検出

すぐに使える厳選された Falco ルールで時間を節約できます。クラウドプロバイダや K8s 環境のコンテキストを使ってルールを強化できます。また、コミュニティが提供する検出機能を利用してポリシー違反を検出したり、さらなる調整でノイズを減らしたりできます。

AWS Fargate で実行時に脅威を検出

オープンソースの Falco を利用して、Fargate クラスタ環境のランタイム脅威を検出します。きめ細かな syscall データを使用して、Fargate で実行されているワークロードを詳細に可視化します。

規制コンプライアンスへの継続的な対応

ワークロードのライフサイクル全体にわたって、PCI、NIST、SOC2、Kubernetes および Docker の CIS ベンチマークなどの基準にコンテナが準拠しているかどうかを検証します。PCI DSS などのコンプライアンス基準を満たすためのファイル整合性監視(FIM)の要件に対応します。

詳細なインシデント対応とフォレンジックの実施

ワークロードのランタイムポリシー違反の分析と監査を行います。フォレンジックキャプチャを利用すると、インシデントの前後や発生中のセキュリティイベントに関連付けられたアクティビティを調査、分析、再現できます。

Sysdig SCWW - Confidently Secure with Open Source Standards

オープンスタンダードアプローチによる確実な保護

Falco や Sysdig OSS に基づき、クラウドワークロードを継続的に保護します。

30 日間の無償トライアルを数分で開始

すべての機能に完全にアクセスでき、クレジットカードは不要です。

よくある質問

Q: CWPP とは何ですか?

A: クラウドワークロード保護プラットフォーム(CWPP)ツールはワークロードの保護に重点を置き、AWS、Microsoft Azure、Google Cloud Platform(GCP)などのクラウドベンダーのインスタンスを保護するクラウドベースのセキュリティソリューションを提供するのが一般的です。

Q: CWPP の主なユースケースを教えてください。

A:

  • ランタイム検出: コンテナやマイクロサービスで、実行時に疑わしい動作の防止と検出を行います。コンテナの脅威への対応を自動化します。
  • システムの強化: Linux ホストや、ホスト上で実行されている VM ベースのワークロード内の異常なアクティビティを検出します。
  • 脆弱性の管理: 本番環境へのデプロイメント前に、CI/CD やレジストリに保存されたコンテナイメージから OS の脆弱性や OS 以外の脆弱性を検出します。
  • ネットワークセキュリティ: コンテナと Kubernetes 内部のネットワークトラフィックを可視化して、Kubernetes ネイティブなネットワークセグメンテーションを実施します。
  • コンプライアンス: コンテナのコンプライアンスを検証し、コンテナ内のファイル整合性監視を確実に実施します。
  • インシデント対応: コンテナが消えた後でも、コンテナと Kubernetes のフォレンジックとインシデント対応を実施できます。

Q: CWPP ツールはどのようにデプロイされますか?

A: 通常、CWPP ツールはエージェントベースです。Sysdig エージェントは監視対象のホスト上に存在し、該当するデータとイベントを収集します。

Q: CWPP と CSPM の違いは何ですか?

A: クラウドワークロード保護プラットフォーム(CWPP)ではクラウドで実行されているワークロードの保護が中心となりますが、Cloud Security Posture Management(CSPM)ではクラウドサービス(クラウドストレージ、マネージドデータベース、ロードバランサーサービス、多要素認証など)を保護します。どちらも、クラウド上の機密データの保護に重点を置いています。