今や多くの企業がオンプレミスからクラウドにシフトし、クラウドアプリケーションが企業の情報基盤になりつつあります。そこで考えなければならないのがセキュリティです。ワークロードが多様化し、また、ワークロードが動作するクラウド環境が多様化する中で、オンプレミスで行ってきた防御とは異なる新たな防御を検討する必要が出てきました。その中で注目されているのが「CWPP」のソリューションです。
CWPP(Cloud Workload Protection Platform)とは、オンプレミス、IaaS、PaaS上の仮想マシン、コンテナ、アプリケーション、データといったワークロードを全て可視化し、脅威から保護することを目的としたソリューションです。
そもそもワークロードにはどのようなものがあるかをまずご紹介したいと思います。サーバーのワークロードだけでもこれだけの種類があります。
●仮想マシン(VM:Virtual Machine)
物理サーバーに構築したソフトウェア上で展開される仮想化されたマシンです。サーバーワークロードでは現時点で最も普及していると言えます。CPU、メモリなどを複数の仮想マシンで共有することで、資源を効率的に使えるのがメリットです。
パブリッククラウドの場合は、Amazon EC2やGoogle Compute Engineのように、クラウドサービス事業者のデータセンターにあるサーバーのCPU、メモリ、ストレージを利用して仮想サーバー(インスタンス)を構築するサービスが提供されています。
●コンテナ
物理サーバーのコンテナエンジン上で動作する軽量な仮想環境のことです。定義ファイルをもとにコンテナイメージを生成し、個々のコンテナ環境を起動します。仮想マシンのように個々の環境にゲストOSが必要ないため、CPUやメモリを無駄に消費することなく、高速に起動・処理できます。
コンテナの実装でデファクトスダンダートとなっているのがオープンソースの「Docker」です。パブリッククラウドの場合は、仮想マシン上にDockerを構築してコンテナを起動するといった方法を取ります。
●CaaS(Container as a service)
コンテナはより少ないリソースで大量の環境を作ることができます。規模が大きくなると、複数のコンテナを管理する必要があり、Kubernetesのようなオーケストレーションツールが登場しましたが、コンテナ展開や運用の複雑さが課題となっていました。そこでオーケストレーションサービスが持つコンテナ展開・管理機能も含めてCaaSとして提供されるようになりました。代表的なサービスとしては、Amazon Elastic Container ServiceやGoogle Kubernetes Engine等があります。
●サーバーレス
開発者がアプリケーションのソースコードをアップロードすると、実行時に自動でインスタンス化します。利用者側はコンテナイメージやOSコンポーネントを用意する必要がありません。代表的なサービスにはAmazon LambdaやAzure Functions等があります。他のコンテナプラットフォームでは実行できません。
●サーバーレスのコンテナ
コンテナをサーバーレスで実行できる環境です。前項でご紹介したコンテナは利用者がサーバー上にコンテナ環境を構築しますが、サーバーレスのコンテナの場合、コンテナ環境をどのサーバー上に構築するかはサービス提供事業者に任されます。そのためサーバーレスのコンテナについてはサーバーの構築や保守が不要になり、アプリケーションの構築に集中できます。代表的なサービスにはAWS FargateやAzure Container Instances等があります。
今後はご紹介したワークロードが混在する「ハイブリッド環境」が主流になると言われています。複数のクラウド環境における様々なサーバーワークロードを脅威から守ることがCWPPの役割です。
CWPPは従来のインフラストラクチャーを対象とした制御ではなく、ワークロードを対象として制御を行います。CWPPの主な機能として次のようなものがあります。
●ランタイムセキュリティ
コンテナ等のランタイムについてセキュリティ侵害や異常な振る舞いを検出します。
●イメージスキャン
コンテナホストやイメージに含まれるアプリケーションやライブラリに脆弱性がないかを検出します。
●ネットワークセキュリティ
アプリケーションとサービス間の全てのネットワーク通信を可視化し、異常なネットワークアクティビティを検出します。
●フォレンジック
コンテナ、オーケストレーション、クラウドにおけるフォレンジックを取得します。
●継続的なコンプライアンス検証
コンテナ、オーケストレーション、クラウドに対し、PCI、NIST、SOC2といったガイドラインへのコンプライアンスを検証します。
複雑さが加速するクラウド環境だけでなく、オンプレミスも含めてワークロードを保護するメリットは次のようなものがあります。
●追跡・保護を簡素化
サーバーのワークロードが多様化するに従って、追跡・保護が必要なデータポイントが増えて複雑になってきました。そのためアプリケーションの通信環境ではなく、アプリケーション自体を保護することで、追跡・保護を簡素化できます。
●一貫性のある保護
これまで通信の検証で用いられてきたIPアドレス、ポート、プロトコルといった場所に縛られる制御はインフラストラクチャーとの結合が弱いクラウド環境には適していません。そこでワークロードのプロパティに基づいて保護することにより、ワークロードが稼働している場所を選ばずに一貫性のある保護が可能です。
●継続的なリスクの評価
複雑なクラウド環境において、自社の環境の脆弱性がどの程度のリスクをもたらすのかを定量的に把握できていないケースも少なくありません。ワークロードの保護によって、ネットワークの攻撃対象領域をリアルタイムで測定し、どのワークロードがどのように通信しているのかを把握できます。
資料ダウンロード
資料ダウンロード
資料ダウンロード
資料ダウンロード
資料ダウンロード
資料ダウンロード
資料ダウンロード
資料ダウンロード
資料ダウンロード