クラウドワークロードとコンテナは高速でダイナミックであるため強力です。しかし、その同じ速度とダイナミズムこそが、セキュリティにとってユニークな課題となっています。
ワークロードは従来のセキュリティツールが検出する前に起動して消えます。コンテナの60%は1分以内に存在する。そしてAIワークロードの台頭はこのトレンドをさらに悪化させており、ますます複雑で常に変化するソフトウェアスタックが生まれ、隠れたサードパーティの依存関係が詰め込まれることが多くなっています。
これらすべてに直面して、セキュリティへのポスチャーファーストアプローチは追いつくのに苦労しています。根本的に、ほとんどのレガシーなポスチャー指向のツールはクラウドネイティブ環境向けに設計されていません。これらは、ポスチャースキャンと静的評価を優先するために構築されており、問題が発生する可能性がある場所を強調するのに非常に価値がありますが、即座の対応を要求するアクティブなリスクに対処することができません。
攻撃が数分で実行できる最新のクラウドワークロード、コンテナ、およびKubernetes環境では、このアプローチはもはや十分ではありません。
では、クラウドネイティブセキュリティ向けに設計・構築されたソリューションはどのようなものでしょうか?コンテナ化されたインフラストラクチャで現在何が実際の脅威であるかを伝えるセキュリティプログラムをどのように構築しますか?
答えは、3つの重要な柱の上に構築されたコンテナとワークロードセキュリティにあります:
- 実際のリスクに焦点を当てた脆弱性管理。
- リアルタイムでの検出と対応。
- クラウドネイティブインフラストラクチャ向けに構築されたコンプライアンス
これらの柱の詳細については、ワークロード、コンテナ、Kubernetesを正しい方法で保護するためのブループリントで詳しく、または下記をお読みください。
1. 実際のリスクに焦点を当てた脆弱性管理
常に脆弱性が存在し、多くの場合膨大な量があります。多くのツールはすべてのCVEを等しく扱いますが、セキュリティツールが文脈なしのノイズの多いアラートであなたを埋もれさせる必要はありません。本番環境でどの脆弱性が実際のリスクを生み出しており、それをどのように修正するかを知る必要があります。
正しい方法は次の質問から始まります:環境で実際に何が実行されていますか?
その質問に答えるには、ランタイムインサイトに基づいたソリューションが必要です。ランタイムデータは、本番環境で実行されるワークロード、その動作方法、使用する識別情報とアクセス許可を反映します。実行中のコードに存在する脆弱性、公開されているサービス、および環境内で発生するアクションが示されます。これにより、セキュリティチームはライブワークロードに影響する脆弱性に焦点を即座に絞ることができます。
脆弱性を効果的に管理するには、問題がどこから発生するかを理解する必要があります。下流で脆弱性を修正する代わりに(これは繰り返される作業のレシピです)、チームは脆弱性をビルドパイプラインに入ったイメージレイヤーまで遡る必要があります。このアプローチは運用オーバーヘッドを削減し、修復活動を劇的に拡大します。
2. リアルタイムでの検出と対応
シフトレフトセキュリティがどれほど成熟し高度であっても、ゼロデイ脆弱性、設定ミス、またはその他のギャップを通じて、いくつかの脅威は必然的にランタイムに到達します。したがって、セキュリティチームが脅威を迅速に検出し、効果的に対応できることが重要です。
これはコンテナ環境の高速な世界では特に当てはまります。ここでは横方向の移動が数秒で発生し、攻撃が数分でトリガーされます。多くのツールは遅延スナップショットまたはスケジュール検査に依存しており、最新の脅威のペースに追いつくことができません。
正しい方法は連続的に動作する検出に依存しています。
これは、システムレベルの信号の継続的な監視から始まり、疑わしい行動が発生するとすぐに浮上させます。リアルタイムでsyscallを監視することで、セキュリティチームはワークロードの実際の動作方法、起動したプロセス、アクセスしたファイル、開始したネットワーク接続、およびエスカレートされた権限を含む深い可視性を得ることができます。コンテナとKubernetes脅威向けに調整された検出ルールは、悪用、侵害、または悪用を示すアクティビティに注意を集中させます。
この情報を調査し、対応するために、アナリストはどのワークロードが信号を生成したのか、どの識別情報がそれを開始したのか、そしてそれが周囲のランタイムアクティビティとどのように接続されているかを理解するためのコンテキストも必要とします。これらのインサイトは、孤立したイベントをチームが評価して含むことができるインシデントに変えるものです。
3. クラウドネイティブインフラストラクチャ向けに構築されたコンプライアンス
コンテナはコンプライアンスを無限に複雑にしました。セキュリティチームは、PCI DSS、HIPAA、NIST 800-53、SOC 2などの通常のフレームワークに準拠していることを確認する必要があります。しかし、これらの環境は現在ダイナミックで一時的なものであり、コンプライアンスを確保するための新しいアプローチが必要です。
正しい方法は継続的なコンプライアンスを意味し、特定の時点での評価ではありません。
これを達成するには、コンプライアンスフレームワークに直接マップされたポリシーが必要です。そうすることで、リアルタイムで特定のコントロールに対するコンプライアンスポスチャーを確認し、ドリフトを迅速に特定できます。
問題を特定したら、明確な修復を提供し、問題を効率的に修正できるソリューションも必要です。理想的には、開発ワークフローに直接統合されます。
強力なコンテナとKubernetesのポスチャー管理は、デプロイメント時に強制を提供し、非準拠またはぜい弱なワークロードがランタイムに到達する前にそれらをブロックする必要があります。
翻訳元: https://webflow.sysdig.com/blog/how-to-secure-workloads-containers-and-kubernetes-the-right-way
