Aqua Enterprise版の主要なコンポーネントについてまとめてみた

Toda Tomohiro

2021.11.05

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コンサル部@大阪オフィスのTodaです。

aqua社が提供しているAqua Platform の Enterprise版 を試す機会がありましたので内容について色々まとめています。 今回は主要なコンポーネントについて確認します。

Aqua Platformとは?

Aqua Platformはaqua社が提供するソリューションでコンテナとクラウドネイティブアプリのために開発された、 フルライフサイクルなセキュリティソリューションになります。

■ aqua コンテナ・クラウドネイティブアプリのためのセキュリティソリューション https://www.creationline.com/aqua

製品の内容については下記記事をご覧ください。

コンポーネントについて

Aqua Enterprise版にはコンポーネントがコンテナの形式で用意されており、必要な機能に合わせて導入をおこないます。
主要なコンポーネントとして3点と監視内容に合わせて7点のコンポーネントがございます。※1

■ 主要なコンポーネント

  • Aqua Server
  • Aqua Database
  • Aqua Gateway

■ 監視内容により必要なコンポーネント

  • Aqua Scanner
  • Aqua Enforcer ※2
    • Aqua MicroEnforcer
    • Aqua Pod Enforcer
    • Aqua KubeEnforcer
    • Aqua VM Enforcer
    • Aqua NanoEnforcer

※1.セキュリティ情報の集約・維持をするAqua Cybercenterは除外しています。
※2.Aqua Enforcerにはホストのない環境下で利用できるEnforcerが複数用意されています。

コンポーネントイメージ図

コンポーネントイメージ図

コンポーネントの役割

Aqua Server

Aquaの制御をおこなうコンポーネントになります。他のコンポーネントに必要な設定操作等もおこないます。 管理者、開発者、運営者が操作をおこなうようにUIが用意されていてWebページ上で設定・監視が可能です。 Aqua Scannerがおこなうスキャン機能も一部持っており、Aqua Serverにてスキャンをおこなうことも可能です。

Aqua Database

Aquaの設定やセキュリティポリシー、ユーザ管理、ログ履歴を保存する用途に利用します。
コンテナにて実行する場合は、永続性を確保する必要になります。
※永続性については下記ブログのコンテナ実行を参照ください。
https://dev.classmethod.jp/articles/aqua-setup/

Aqua Gateway

Aqua ServerとAqua Enforcerの通信を処理するコンポーネントになります。
大規模な環境にAqua Enforcerを導入した場合、Aqua Gatewayは中間処理をおこないAqua Serverへの通信を効率良く制御します。1つ以上のAqua Gatewayが必要になります。

Aqua Scanner

コンテナイメージのスキャンをおこないセキュリティの問題(脆弱性、機密データ、マルウェア)を Aqua Serverに送信します。スキャンの内容はImage Assurance Policies の内容に準じます。
Aqua ScannerはLinuxホスト用とWindowsホスト用が用意されます。
インスタンスを分けられる場合は、Aqua Scanner を準備して、Aqua Server側のスキャン機能を無効にする事で負荷分散が可能です。

Aqua Enforcer

実行中のコンテナまたはホスト(VM)にランタイムセキュリティを提供します。
DockerまたはKubernetesを利用している環境に利用可能です。

ホストのない環境下では種別毎に下記Enforcerが用意されています。

Aqua MicroEnforcer

Aqua Enforcerをインストールできない環境(AWSFargateやAzureACIなど)に対して使用できます。

Aqua Pod Enforcer

Kubernetes環境で実行中のコンテナにランタイムセキュリティを提供します。
Pod Enforcerは、Linuxホストで実行されるコンテナーのみをサポートします。

Aqua KubeEnforcer

Kubernetesインフラストラクチャ、ワークロード、および脆弱性の自動検出をおこないます。
Kube Enforcersは、Linuxホストで実行されるコンテナーのみをサポートします。

Aqua VM Enforcer

仮想マシンを保護します。

Aqua NanoEnforcer

AWS Lambdaにランタイムポリシーを適用してランタイムアクティビティを制限および監視します。

さいごに

今回はAquaのコンポーネントについて確認いたしました。 次はコンポーネントを使って具体的な監視設定を行ってみます。

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ