Kubernetesは強力で広く採用されているコンテナオーケストレーションプラットフォームであり、ネットワークに侵入しようとする悪意あるアクターからも格好の標的にもなっています。Kubernetesのセキュリティ問題が目立つようになったことで、ソフトウェア開発ライフサイクル (SDLC) のすべての段階をカバーする、包括的なセキュリティアプローチの開発が促進されました。このアプローチは、シフトレフトとシールドライトの2つの概念を組み合わせたものです。
シフトレフトのアプローチでは、SDLCの初期、つまり展開前の段階に厳格なセキュリティ対策を組み込みます。逆に、シールドライトの概念では、強化された監視と堅牢な脅威検知メカニズムを介して、展開後にセキュリティプラクティスを適用します。
この記事では、チームがこの2つの概念を組み合わせてSDLC全体に実装し、従来よりはるかに強力な総合的セキュリティポスチャを、すべてのKubernetesクラスターで実現する方法について考察します。
企業全体でのKubernetesの保護
このCrowdCastセッションでは、クラウドストライクがRed Hatと共同で、Kubernetesのセキュリティの現状と、生産性を損なうことなく組織でKubernetesを安全に保護する方法について議論しています。
オンデマンドはこちらKubernetesでのシフトレフト
期限に間に合わせようと焦るあまり、開発チームがセキュリティ上の欠陥への対処をリリース後へと先送りし、悪用可能な脆弱性を不幸にも本番環境で増殖させてしまう場合があります。シフトレフトのパラダイムは、このようなセキュリティ問題にSDLC早期にプロアクティブに対処することで、時間を節約し、侵害の可能性を減らすことを目的としています。
シフトレフト手法は概念上、対象を絞った特定のセキュリティ慣行を実施することで、一連の重要なセキュリティ目標を達成します。最初の目標は、早期の統合です。Kubernetesのセキュリティ問題をできるだけ早く特定することで、「フェイルファスト」アプローチに基づき、よりシンプルで迅速な問題解決を実現できます。その結果、長期的には時間の節約となり、重大なボトルネックになる前に障害を取り除くことができます。問題の早期解決は、最終的には費用効率を高める主要な要因となります。これは通常、初期段階で問題が起きた場合に必要とされるリソースと開発時間が、SDLCの後半の段階で問題が検出される場合よりも少なくて済むためです。
重要なセキュリティ慣行
シフトレフトアプローチの主なセキュリティ慣行は次のとおりです。
静的アプリケーションセキュリティテスト (SAST):アプリケーションのソースコードまたは内部動作を分析して脆弱性と弱点の有無を確認し、セキュリティの問題を早期に特定して修正します。自動化されたSASTツールにより、開発者は面倒な手動のSASTテストから解放されます。
ソフトウェアコンポジション分析 (SCA):オープンソースのコンポーネントとライブラリをスキャンして、CVEデータベース内の既知の脆弱性を特定します。
IaC(コードとしてのインフラストラクチャ)スキャン:IaCテンプレートとコードを追跡して、セキュリティ上の設定ミスやルール違反がないか確認し、セキュリティ侵害やコンプライアンスの問題を防ぎます。
コンテナイメージスキャン:コンテナイメージに脆弱性が含まれていないことを展開前に確認します。コンテナイメージは、多数の依存関係を含むことが多いベースイメージから開始されます。
ソフトウェアサプライチェーンのセキュリティ:アプリケーションで使用されるサードパーティ製コンポーネントと依存関係の整合性およびセキュリティを検証し、脆弱性の偶発的な導入を防ぎます。
セキュリティ問題を、本番環境に到達する前に自動的に特定して防御できるようにするには、これらのプロアクティブなセキュリティ慣行を継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインに統合する必要があります。
利点
セキュリティに対するシフトレフトアプローチを取ることで、組織はいくつもの大きなメリットを享受できます。まず、プロアクティブなセキュリティ対策によってコストを削減できます。悪意のあるアクターが本番環境の脆弱性の悪用に成功した場合、莫大なコストがかかる可能性があります。つまり、組織は問題の修復、データ侵害の回復、コンプライアンス違反、および企業評価の低下に対応するために、時間、リソース、および資金を失うことになります。これに比べると、SDLCの初期段階で脆弱性を特定して解決するための、シフトレフト型のセキュリティ対策を実装するためのコストはごくわずかです。この点だけでも、シフトレフトパラダイムの本質的な利点は明らかです。
2つ目は、シフトレフトセキュリティによるコラボレーションの向上です。シフトレフトアプローチを基にDevSecOpsの考え方が生まれ、DevOpsチームとセキュリティチームの緊密な連携が可能となり、全体的なセキュリティポスチャが向上しました。
Kubernetesでのシールドライト
展開前の段階でセキュリティのベストプラクティスを確保することは、必要な作業の半分に過ぎず、おそらく簡単なほうの半分です。アプリケーションは本番環境に展開された途端、悪意のあるアクターがいつでも攻撃を試みる可能性のある、まったく新しい領域となります。
シールドライトの方法論は、本番環境のランタイムと設定をリアルタイムでモニタリングし、継続的にスキャンすることに焦点を当てています。シフトレフトと同様に、いくつかのコアプラクティスに依存することで重要な目標を達成しています。最初の目的は、ランタイム保護です。ランタイム中のセキュリティを確保することは、特にシステムの規模が大きくなるにつれて、大変な作業となります。ほんの小さな設定ミスが広範囲に広がり、深刻な侵害につながる可能性もあります。ランタイム保護には、インシデントにも対応しつつ、脅威と異常の検知を自動的に実行するツールが必要です。
シールドライトアプローチの2番目の目標は、継続的モニタリングです。Kubernetes環境は、多数の高度なコンポーネントで構成されています。それぞれに対して継続的なリアルタイムモニタリングを実施し、予期しない振る舞いを即座に認識して修正する必要があります。
重要なセキュリティ慣行
シールドライトアプローチは、いくつかの重要なセキュリティ慣行を伴い、個々のセキュリティ慣行は通常、専用のツールに関連付けられています。
CDR(クラウド検知・対応):クラウドは進化し続ける環境であり、新たな脅威が絶え間なく出現しています。展開したKubernetes環境には、脅威が発生したらすぐに特定して軽減できるように、リアルタイムのクラウド脅威検知および対応機能を実装する必要があります。
クラウドワークロード保護 (CWP):クラウドネイティブのワークロードには、さまざまな形状とサイズのものがあります。CWPは、実行中のすべてのクラウドワークロードが常に保護されることを保証します。
ログ分析とモニタリング:ログ分析とモニタリングでは、さまざまなソースからログとイベントを継続的に取り込んで処理および分析し、異常の発生をリアルタイムに特定します。大規模なシステムでは、テラバイト単位のログデータがごく日常的に生成されるため、このような大量の負荷をシームレスに処理できる、エンタープライズレベルのロギングツールが必要です。
KSPM(Kubernetesセキュリティポスチャ管理):KSPMは、Kubernetes専用に構築された包括的なフレームワークであり、Kubernetesクラスターのセキュリティ状態に関するインサイトを提供します。KSPMは、ベストプラクティスを実装し、セキュリティ標準を適用し、特定のクラスターセットのセキュリティポスチャを継続的にモニタリングするように設計されています。
利点
組織は、Kubernetes環境にシールドライト型のセキュリティアプローチを採用することで、リアルタイムの脅威検知の恩恵を享受できます。このアプローチの中核となるのは、本番環境のセキュリティ問題には迅速に対処しなければならないという考え方です。迅速かつ包括的な脅威検知と緩和策が、このアプローチの魅力となっています。
さらに、企業はシールドライトを実装することで、運用上の可視性というメリットを享受できます。最適なオブザーバビリティ(可観測性)を実現することは、堅牢なKubernetesセキュリティを確保するための重大な前提条件です。シールドライトは、広範かつ深遠な包括的モニタリングに重点を置き、Kubernetesエコシステムのすべてのレイヤーが全面的にモニタリングされていることを保証します。このアプローチでは、すべてのアクティビティを詳細に表示できるため、プロアクティブな脅威検知が可能になり、セキュリティ保護された環境を維持できます。
シフトレフトとシールドライトの統合
SDLC内で、シフトレフトとシールドライトそれぞれの役割を区別して維持することが、両方のパラダイムのスムーズな統合につながります。こうすることで、両アプローチが互いに補完し合うようになり、両者が重複し、不必要な障害を生む事態を防止できます。
SDLCにおけるシフトレフトは、展開を含む、SDLCのリリース前の段階に焦点を当てています。アプリケーションが展開されると、継続的な保護を保証するためのすべてのセキュリティ対策の管理が、シールドライトアプローチによって引き継がれます。 |
両方のパラダイムを統合することで、包括的なセキュリティアプローチが生まれます。プロアクティブな(シフトレフト)対策と対処的な(シールドライト)対策を組み合わせることで、包括的なセキュリティ戦略が保証されます。これらのアプローチの統合により、Kubernetesベースのアプリケーションがライフサイクル全般にわたって包括的に保護されるようになります。開発の初期段階から本番環境まで、一貫してセキュリティの重要性を強調することで、アプリケーションライフサイクル全般にわたるすべてのフェーズにセキュリティのベストプラクティスを実装できます。
インフォグラフィック: クラウドセキュリティポスチャを改善(英語)
このインフォグラフィックをダウンロードして、マルチクラウドやハイブリッドクラウドにおける最も一般的なクラウドセキュリティの課題に取り組むことで、クラウドセキュリティポスチャとコンプライアンスの改善方法を学びましょう。
今すぐダウンロードCrowdStrike Falcon Cloud SecurityでKubernetesをあらゆる側面から保護
Kubernetes環境は悪意あるアクターにとって最大のターゲットですが、シフトレフトとシールドライトの方法論をうまく連携させることで、信頼性の高い包括的なセキュリティソリューションを確立できます。両方のアプローチの融合により、Kubernetes環境を強固な要塞に変えることができます。
しかし、シフトレフトとシールドライトを融合させるには、いくつものツールが必要になることが多く、連携させることが難しい場合もあります。断片的なアプローチを採用すると、不必要な冗長性や危険な空隙が生じてしまう可能性が高くなります。CrowdStrike Falcon® Cloud Securityは、シフトレフトとシールドライトの原則を1つのプラットフォームに統合します。CI/CDパイプラインとの直接統合により、初期段階の脆弱性に対処すると同時に、本番環境での継続的モニタリング、およびリアルタイムの脅威検知と対処を可能にします。
Falcon Cloud Securityの詳細については、インタラクティブデモをお試しいただくか、今すぐセキュリティ専門家チームにお問い合わせください。
ジェイミー・ゲイル(Jamie Gale)は、クラウドとアプリケーションセキュリティの専門知識を持つプロダクトマーケティングマネージャーです。Bionicの買収によりクラウドストライクに入社する前は、複数のスタートアップ企業や大規模な国際機関でテクニカルコンテンツやエグゼクティブコミュニケーションに関する活動を主導していました。同氏は、ワシントンD.C.に在住しており、メアリーワシントン大学を卒業しています。
