TokyoBlackHatNews

sysdig.com 5分で読了

効果的なランタイムパワード・クラウド防御を構築するための3つの柱:正しい方法

クラウドネイティブワークロードは待ちません。数ヶ月または数年間アイドル状態のままでも問題ないという比較的静的な従来のインフラストラクチャとは異なり、コンテナおよびクラウドワークロードは常に変化しています。Sysdigの調査では、コンテナの60%は1分以下の期間で存在します。Kubernetesクラスターは需要に応じて継続的にスケールアップおよびスケールダウンされ、サーバーレス機能はミリ秒単位でコードを実行した後に消滅します。そして現代の脅威はこれと同じくらい迅速に動くことを学んできました。

これはあなたのセキュリティにどのような意味を持つのでしょうか?簡潔に言えば、クラウドインフラストラクチャおよびワークロードと同じ速さで機能するセキュリティプログラムが必要です。特定時点のスナップショットではもはや組織を適切に保護することはできず、脅威を検出してから数分または数時間後に対応するツールでも同様です。

クラウド環境を保護するには、実行時にそれを保護する必要があります。ランタイムインサイトは、脆弱性、設定ミス、脅威の周囲のリアルタイムコンテキストを理解するために必要なアクショナブルな情報とシグナルです。ランタイムインサイトにより、セキュリティチームは、どの問題が真に緊急かを理解でき、それらをどのように修復するかを知ることができます。ランタイムを基盤として、チームは本当にリスクにさらされているもの優先順位をつけ、アクティブな脅威をリアルタイムで検出し、精密に対応できます。

このブログでは、効果的なランタイムパワード・クラウド防御を構築するための3つの重要な柱を分解するので、リアルタイムで正しい方法でインフラストラクチャを保護できます。詳細については以下をお読みいただくか、当社の完全なランタイムパワード・クラウド防御ブループリント:正しい方法をダウンロードして完全なストーリーをご覧ください。

1. 完全なテクノロジースタック全体にわたる可視性

まず、カーネルからクラウドまで完全スタック可視性を提供するセキュリティソリューションが必要です。これは、コンテナ、仮想マシン、サーバーレスワークロード、Kubernetes、クラウドアカウントを含むスタックの各層からランタイムテレメトリーを収集することを意味します。

この完全スタックビューは、セキュリティチームが何が起きたのかを理解し、また異なる要素がどのように関連しているのかを理解するのに役立ちます。コンテナが逆シェルを起動した場合、syscallをキャプチャし、コンテナイメージ、名前空間、ユーザーアイデンティティ、およびそれに続く横方向の接続に関連付けることができます。その相関はすぐに発生するため、後で画像を再構成する必要はありません。

2. 復原力とスケーラビリティ

クラウド環境でランタイムデータをキャプチャするには、多くの異なる種類のインフラストラクチャ、サービス、サードパーティアプリケーション全体でデータを取り込むことができるインストルメンテーションが必要です。また、大量のシグナルを処理し、システム動作をクラウドネイティブアーキテクチャとリアルタイムで相関させることができるパイプラインが必要です。効果的なランタイムインストルメンテーションは、これらの環境の成長に伴ってシームレスにスケーリングし、パフォーマンスを低下させることなく完全な可視性を提供し続ける必要があります。

ランタイムデータをこのような方法でアプローチすることにより、すべてのイベントが完全な実行コンテキストを備えて到着し、迅速な調査と対応をサポートする準備ができていることを確認できます。検出は、セキュリティチームが迅速な決定を下すために必要なコンテキストと関連性を備えて発火し、進展中の実際の攻撃パスを示し、レイテンシーとノイズの両方を削減します。

3. 迅速な対応のためのアクショナブルなコンテキスト

すべてのその可視性とデータは非常に有用ですが、対応につながる場合のみです。そして効果的に対応するにはコンテキストがデータを充実させる必要があります。

それを実現するには、ランタイムインサイトをプラットフォームのあらゆる部分に深く統合するセキュリティソリューションが必要です。ランタイムインサイトは検出ルールに情報を提供し、調査を充実させ、エージェンシーAI推奨事項を推進し、リアルタイム対応アクションを強化する必要があります。

この豊富なランタイムベースの基盤でのみ、チームは脅威が検出されたときに迅速かつ効果的に対応するために必要なコンテキストを持ちます。これには、横方向の動きを追跡し、爆発半径をマップすること、孤立したイベントを相関させて攻撃チェーンを組み立てること、ライブイベントに基づいて対応を優先順位付けすること、悪意のあるプロセスを終了することが含まれます。

終わりに

ワークロードが数秒で立ち上がり消えてしまう環境では、唯一の真実のソースはランタイムで何が起こるかです。そこはシグナルが存在する場所です。そこは攻撃が展開される場所です。そしてそこは防御者が洞察が必要な場所です。

インフラストラクチャと脅威の両方が継続して高度化し速度を上げ続ける中で、セキュリティチームはそれらが発生する場所と時期で対応する準備ができている必要があります。ランタイムインサイトによって強化されたクラウド防御プログラムを構築することにより、防御者に今起こっていることを保護するために必要なリアルタイム可視性、コンテキスト、コントロールを装備できます。

翻訳元: https://www.sysdig.com/blog/three-pillars-for-building-effective-runtime-powered-cloud-defense-the-right-way

ソース: sysdig.com
#Kubernetes #インシデント対応 #クラウドセキュリティ #クラウドネイティブ #コンテナセキュリティ #サーバーレスセキュリティ #ランタイムセキュリティ #リアルタイム防御 #可視性 #脅威検出

関連記事

セキュリティブリーフィング:2026年5月

特権コンテナなしのランタイムセキュリティ:最小権限制御によるコンプライアンスの迅速化

AIエージェントが主導:攻撃者がLLMを使ってCVEから内部データベースへ4つのピボットで侵入した方法