TokyoBlackHatNews

sysdig.com 4分で読了

効果的なランタイムパワードクラウドディフェンスを構築するための3つの柱 – 正しい方法

クラウドネイティブなワークロードは待ちません。従来のインフラストラクチャが比較的静的で、数ヶ月あるいは数年間もアイドル状態のままでいるのに対して、コンテナとクラウドワークロードは常に変動しています。Sysdigの調査によると、60%のコンテナは1分以下で実行中です。Kubernetesクラスタは需要に応じて継続的にスケールアップ・ダウンし、サーバレス関数はミリ秒単位でコードを実行してから消失します。そして現代の脅威も同じくらい素早く動くことを学びました。

これはセキュリティにとって何を意味するのでしょうか?簡単に言えば、クラウドインフラストラクチャとワークロードと同じくらい迅速に動作するセキュリティプログラムが必要です。特定時点のスナップショットでは、もはや組織を適切に保護することができなくなりました。脅威を数分または数時間後に検出するだけのツールも同様です。

クラウド環境を保護するには、ランタイムで保護する必要があります。ランタイムインサイトは、脆弱性、誤設定、脅威の周囲におけるリアルタイムコンテキストを理解するために必要なアクショナブルな情報と信号です。ランタイムインサイトにより、セキュリティチームはその時点でどの問題が本当に緊急なのか、そしてそれらをどのように修復するかを理解することができます。ランタイムを基盤として、チームは真のリスク下にあるものを優先順位付けし、アクティブな脅威をリアルタイムで検出し、正確にアクションを実行できます。

このブログでは、効果的なランタイムパワードクラウドディフェンスを構築するための3つの重要な柱を分解します。これにより、インフラストラクチャをリアルタイムで正しく保護できます。詳細については以下をご覧いただくか、完全なランタイムパワードクラウドディフェンスブループリント – 正しい方法をダウンロードしてご覧ください。

1. フルテクノロジースタック全体の可視性

まず、カーネルからクラウドまで、フルスタック可視性を提供するセキュリティソリューションが必要です。これは、コンテナ、仮想マシン、サーバレスワークロード、Kubernetes、クラウドアカウントなど、スタックのあらゆるレイヤーからランタイムテレメトリを収集することを意味します。

このフルスタックビューにより、セキュリティチームは何が起こったか、また異なる要素がどのように関連しているかを理解することができます。コンテナがリバースシェルを起動する場合、syscallをキャプチャし、コンテナイメージ、名前空間、ユーザーアイデンティティ、その後の横移動接続に関連付けることができます。その相関はすぐに発生するため、後で全体像を再構築する必要はありません。

2. 回復力とスケーラビリティ

クラウド環境でランタイムデータをキャプチャするには、多くの異なる種類のインフラストラクチャ、サービス、サードパーティアプリケーション全体でデータを取り込むことができるインストルメンテーションが必要です。また、大量の信号を処理し、システム動作をクラウドネイティブアーキテクチャとリアルタイムで相関させるパイプラインが必要です。効果的なランタイムインストルメンテーションは、これらの環境が成長するにつれてシームレスにスケールして、パフォーマンスを低下させることなく完全な可視性を継続して提供する必要があります。

このようにランタイムデータにアプローチすることで、すべてのイベントが完全な実行コンテキストを備えて到着し、迅速な調査と対応をサポートする準備ができていることを確保できます。検出はセキュリティチームが迅速な決定を下すために必要なコンテキストと関連性とともに発火し、実際の攻撃パスがどのように展開しているかを示し、遅延とノイズの両方を削減します。

3. 迅速な対応のためのアクショナブルコンテキスト

すべてのその可視性とデータは非常に有用ですが、対応につながる場合のみです。そして効果的に対応するにはコンテキストが必要です。

そのためには、ランタイムインサイトをプラットフォームのあらゆる部分に深く統合するセキュリティソリューションが必要です。ランタイムインサイトは検出ルールに情報を提供し、調査を充実させ、エージェンティックAI推奨を駆動し、リアルタイム対応アクションに力を与える必要があります。

このリッチなランタイムベースの基盤を持つだけで、脅威が検出された場合に迅速かつ効果的なアクションを実行するために必要なコンテキストをチームが持つことができます。これには、横移動のトレース、ブラストラジウスのマッピング、個別のイベントの相関関係を推論して攻撃チェーンを構築、ライブイベントに基づく対応の優先順位付け、および悪意のあるプロセスの終了が含まれます。

終わりに

ワークロードが数秒で起動・消失する環境では、唯一の情報源はランタイムで何が起こるかです。それは信号が存在する場所です。それは攻撃が展開する場所です。そしてディフェンダーがインサイトが必要な場所です。

インフラストラクチャと脅威の両方が複雑さとスピードで進化し続ける中、セキュリティチームはそれらが発生する場所と時間で出会う準備ができていなければなりません。ランタイムインサイトに基づくクラウドディフェンスプログラムを構築することで、ディフェンダーに現在起こっていることを保護するために必要なリアルタイム可視性、コンテキスト、制御を備えることができます。

翻訳元: https://webflow.sysdig.com/blog/three-pillars-for-building-effective-runtime-powered-cloud-defense-the-right-way

ソース: webflow.sysdig.com
#Kubernetes #インシデント対応 #クラウドセキュリティ #クラウドネイティブ #クラウド防御 #コンテナセキュリティ #ランタイムセキュリティ #リアルタイム検出 #可視性 #脅威対応

関連記事

セキュリティブリーフィング:2026年5月

特権コンテナなしのランタイムセキュリティ:最小権限制御によるコンプライアンスの迅速化

AIエージェントが主導:攻撃者がLLMを使ってCVEから内部データベースへ4つのピボットで侵入した方法