[前回] ゼロトラストのディープダイブ(7)-SSPM(SaaSセキュリティ状態管理)
はじめに
今回は、クラウドセキュリティ技術の一つである、
CNAPP(Cloud Native Application Protection Platforms)
を勉強します。
CNAPPの前提
以下3点を理解する必要があります。
- CSPM(Cloud Security Posture Management)
- CWPP(Cloud Workload Protection Platform)
- CIEM(Cloud Infrastructure and Entitlements Management)
CSPM(クラウドセキュリティ状態管理)とは
- IaaS上の設定不備を検出するためのツール
- IaaS(イアース、Infrastructure as a Service)とは、クラウドコンピューティングの1つ
- 仮想化技術を利用し、ハードウェアリソース(CPU/メモリ/ストレージ)などデジタルインフラを
- インターネット経由でオンデマンドで提供するサービス
- IaaS(イアース、Infrastructure as a Service)とは、クラウドコンピューティングの1つ
- 脆弱な設定や設定不備を自動修復するための仕組みを提供
- 外部からなりすましによるIaaSへの不正アクセスを防ぐ
- 内部犯行によるIaaSへの不正アクセスを防ぐ
- マルチクラウドを1つのコンソールで統合管理可能
- クラウドの設定がベストプラクティスに従っているかチェック
- データストレージがインターネットに直接さらされていないか
- データベースの暗号化が行われているか
- 重要なシステムアカウントで多要素認証が有効になっているか
- 違反が検知された場合の通知機能があるか
CWPP(クラウドワークロード保護プラットフォーム)とは
IaaSのワークロードとアプリケーションのライフサイクル全体を把握し保護するソリューション。
CWPPの機能:
- コンテナやマイクロサービスのランタイムにおける不審な振る舞いを防止・検出
- コンテナの脅威に対する対応を自動化
- ホスト上で動作するVMベースのワークロードの異常な振る舞いを検出
- CI/CDやレジストリに格納されたコンテナイメージから、本番環境にデプロイする前にOS/非OSの脆弱性を検出
- コンテナやKubernetes内のネットワークトラフィックを可視化し、Kubernetesネイティブのネットワークセグメンテーションを実施
- コンテナのコンプライアンスを検証し、コンテナ内のデータ整合性を監視
- コンテナがなくなった後も、コンテナやKubernetesのフォレンジックやインシデント・レスポンスを行う
CIEM(クラウドインフラストラクチャーエンタイトルメントマネジメント)とは
- クラウドのID管理とデータプライバシーを保護するソリューション
- 最小特権のアクセスを付与するようにポリシー変更を提案
- 動的なマルチクラウドインフラストラクチャにおける過剰な特権を持つIDのリスクを軽減
- 特権の昇格、認証情報の漏洩、その他疑わしいアクセスを可視化しリスクを軽減
CNAPPの背景
- CWPPにおいて、ワークロードのコンテキストを提供する状態管理機能が必要となった
- CSPMにおいて、ワークロードをドリルダウン可能な可視化機能が必要となった
そこで、CSPMとCWPPを統合し、さらにクラウドセキュリティ機能を追加した、CNAPPソリューションが必要となった。
CNAPPの目標
- クラウドネイティブ環境に完全なエンドツーエンドのセキュリティを提供
- クラウドセキュリティに対し、統合プラットフォームのアプローチを提供
CNAPPとは
クラウドネイティブのアプリケーション、インフラストラクチャ、および構成に対し、
リスクを特定、評価し、リスクの優先順位付けを支援する、セキュリティソリューション。
- IaaSのワークロードを保護し、設定を監査するためのフレームワーク
- CNAPPは、CWPP、CSPM、CIEMの各カテゴリーに属するさまざまな機能の組み合わせ
- パブリッククラウドのインフラと、そのインフラ上のワークロード両方を可視化
- CNAPPはクラウドの下記リスクを特定し優先順位をつける
- 設定ミス
- 過剰な権限や許可
- 機密データ漏洩の危険性
- パッチ未適用による脆弱性
- CNAPPはセキュリティリスクに対し、自動修復または手動修復を支援
- CNAPPのプロセスは継続的に行われ、動的に変化するクラウド環境のリスク状況に対応
CNAPPに求められる機能
- 開発環境と本番環境両方で、クラウド・ネイティブ・アプリケーションのセキュリティ保護を支援
- 開発環境と本番環境の間でコンテキストを共有することで、アプリケーションのリスクを完全把握
- アプリケーションを保護
- アプリケーションのライフサイクルを通して追跡し、アプリケーションのコンテキストを特定
- コンテキストリスクに対処するセキュリティ管理を適用
- ソリューションが、CI/CDパイプラインに組み込まれ、最新のDevOpsツールと統合
- ビルド段階でアーティファクトをスキャンし、ビルドからデプロイまでの整合性を維持
CNAPPが企業にもたらすメリット
- チーム(SecDevOps、DevOps、クラウドセキュリティオペレーション)間のコラボレーションを促進
- 単一の統合プロダクトを使用し、クラウド・ネイティブ・アプリケーションのライフサイクル全体を保護
CNAPPとゼロトラスト
- ゼロトラストアーキテクチャにおいて、CNAPPはリスクコンテキストを提供
- リスクコンテキスト情報に基づき、クラウドワークロードのアクセスレベルを決定
- リスクのあるクラウドワークロードに対し、アクセスレベルを制限
おわりに
CNAPPと関連ソリューションを勉強します。
次回は、技術の観点から各種サービスやソリューションを深掘りします。
お楽しみに。