”Chef InSpec”とは、インフラの構成/設定のテストを自動化するためのフレームワークです。
Serverspecの上位互換にあたり、AnsibleやChefにより構築されたインフラの正常性確認やセキュリティ監査を行うためのツールです。
Serverspecの開発者 宮下 剛輔氏は、インフラテストツールの必要性について次のようにコメントしています。
”構築は自動化したが、テストは手動、だから Serverspecが必要だった”
--
日本IBMなど多くの企業でAnsibleやChefなどのIaaSツールとChef InSpecを連携させ、自動化をで完成させている。
Chefを販売するProgress社も、Chef InSpecとAnsibleの連携させる動画を出している。
InSpecの優位性:Serverspecとの比較
- 開発者 (Reliability)
コミュニティ依存のServerspecは、開発やメンテナンスが停滞しているのに対して、
Chef InSpec は、Chef を買収したProgress社による開発が活発に行なわれている。
Progress Softwareは、世界中に100以上の拠点を持ち、10,000人以上の従業員を擁している。主要な顧客には、Fortune 500企業をはじめ、政府機関、金融機関、医療機関など、さまざまな業界の企業が含まれる。
- 豊富なテスト項目 (Usability)
Serverspecのリソース数(テスト可能項目)が、50(Github) と限られているのに対して、
Chef InSpec は1000+(docs.chef.io)のリソースが用意されている。ここ数年Serverspecのリソースにほぼ変化が見られない中、Chef InSpecの開発とメンテナンスはProgress社により活発に行われている。
- マルチプラットフォーム対応 (Scalability)
Serverspecが主にLinuxマシンをターゲットにしているのに対して、
Chef InSpecは一般的なOSやアプリケーションのほぼすべてに対応している。
AIXなどを含むLinux系のすべてのDistroに加えて、Windowsに対しても強力に動作する。
OSやアプリケーションに加えて、AWS、GCP、Azureのクラウドアカウントのテスト(CSPM)も高い粒度で行うことができる。
- 可視化と視認性 (Visibility)
Serverspecが出力するテスト結果は視認性に課題があるのに対して、Chef InSpecは視認性に優れている。
[Chef InSpec出力例]
さらにChef Automate UIでインフラ全体の状態をリアルタイムに可視化することができる。テストの失敗を検知しSlack,ServiceNowなどへ通知することが可能になる。
- セキュリティとコンプライアンス (DevSecOps)
CISベンチマークやSTIGに準拠したテストコードが用意されており、InSpecテストを実行することで対象のノードがそれらのセキュリティ基準をどの程度満たしているかをテストすることができる。AnsibleやChefなどのインフラ構築の構成・設定テストを行うと同時にセキュリティとコンプライアンスのテストも実施し、インフラ構築の完全自動化を【完成】させることができる。
- Chefとの統合
Compliance Phaseと呼ばれてるChefの新機能により、インフラ構成管理(IaC)としてChefを使用している場合、Chefの実行の最後にInSpecテストをシームレスに実行することができる。
”Chef InSpec”ダウンロードリンク:https://www.chef.io/downloads/tools/inspec
Chef InSpecは、Chefと同様に2019年に無償の商用利用が出来なっています。
ライセンスや技術サポートについて詳しくは、連絡先: support@chef-sec.com にお問い合わせください。