Aqua Enterprise Host Assurance機能のポリシー設定と内容をまとめてみた

2022.02.27

こんにちは、コンサル部@大阪オフィスのTodaです。

aqua社が提供しているAqua Enterpriseを試す機会がありHost Assurance機能について確認をしています。

Aqua Enterpriseとは?

Aqua Enterpriseはaqua社が提供するソリューションでコンテナとクラウドネイティブアプリのために開発された、 フルライフサイクルなセキュリティソリューションになります。

■ aqua コンテナ・クラウドネイティブアプリのためのセキュリティソリューション
https://www.creationline.com/aqua

製品の内容については下記記事をご覧ください。

Host Assurance機能について

Host Assurance機能はVMまたはKubernetesノードのファイルシステムをスキャンして下記4点の確認をおこないます。

■ スキャン時のチェック内容

  • 脆弱性のチェック
  • マルウェアのチェック
  • オープンソースライセンスのチェック
  • CISベンチマークの準拠

確認にはAquaEnforcerまたはVMEnforcerがデプロイされている必要があり、初期導入時、スケジューラによる定期処理、手動処理にてスキャンを実行する事が可能です。
スキャン時の処理ルールは管理画面にて変更が可能です。

ポリシーについて

Host Assurance Policies(ホスト保証ポリシー)

監視対象の内容を確認してライブラリの脆弱性、マルウェアのチェックなどをおこない問題が確認できた場合、ログの記録、動作の制限をおこないます。

設定箇所

Aquaにログインを頂き、左メニューから[Policies] > [Assurance Policies]を選択ください。
一覧に表示されるポリシーの設定の中で[Type:Host]となっているものが対象になります。
新規でポリシーを登録する場合は画面上部[Add Policy] > [Host Assurance]を選択します。

設定箇所

設定内容

ポリシーの設定には下記項目がございます。

・Scope
監視対象を指定する項目になります。
関数名またはタグを指定しての適用が可能で、and/or条件を利用して詳細な条件指定が可能です。

・Action
コントロール設定で有効化したチェックに引っかかった場合の対応を設定します。
ログメッセージの書き込み、ホスト一覧にて「非準拠」とするかの設定ができます。

・Exceptions
コントロール設定で有効化したチェックで除外をする場合のルールを設定します。
特定の脆弱性除外や、指定パスのライブラリをチェックから除外が可能です。

・Scan Scheduler
定期スキャンをするスケジュールを設定します。
スケジュールは指定日時または毎週、毎月が選択できます。

・Controls
関数のチェック内容をコントロールします。
コントロールには下記がございます。

コントロール 説明
Custom Compliance Checks カスタムコンプライアンススクリプトを利用して評価をします。
CVEs Blocked 指定したCVEが含まれるかをチェックします。
Docker CIS DockerCISベンチマークにてチェックします。
Kubernetes CIS Kubernetes CISベンチマークにてチェックします。
Linux CIS Linux CISベンチマークにてチェックします。
Malware マルウェアが含まれていないかをチェックします。
チェック範囲はディレクトリ以外にレジストリ・NFS・システムメモリを範囲にすることができます。
スキャンで引っかかった場合に「ログ記録のみ」か「削除」を指定できます。
OpenShift Hardening OpenShiftのベンチマークにてチェックします。
OSS Licenses Allowed ホスト内にオープンソースのリソースで許可されているものを利用しているかチェックします。
OSS Licenses Blocked ホスト内にオープンソースのリソースでブロック指定されているものを利用していないかチェックします。
Packages Blocked ホスト内にブロック指定しているパッケージがないかチェックします。
Packages Required ホスト内に定義されているパッケージが利用されているかチェックします。
Vulnerability Score Aquaで評価したスコアで指定レベル以上でないかをチェックします。
スコアは10段階の指定になります。
Vulnerability Severity Aquaで評価した重大度で指定レベル以上でないかをチェックします。
重大度はLow/Medium/High/Criticalで複数指定できます。

設定内容1

設定内容2

ポリシーで引っかかった場合の挙動

Host Assurance Policiesにて設定したルールに引っかかった場合は、Dashboard または Risk Explorerにて表示がおこなわれ修正確認または除外の指定がおこなえる状態になります。

さいごに

今回はAquaのHost Assurance機能で利用できる保証ポリシーについて確認しました。
少しでもお客様の作りたい物の参考になればと考えております。