【レポート】クラウドネイティブなワークロードは最新のテクノロジーで防御せよ 最先端のクラウドセキュリティはこれだ(パートナーセッション) #AWSSummit

2022.05.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!アライアンス統括部の酒井です。

今回は、2022年5月25 - 26日の2日間で開催されているAWS Summit Online 2022のセッションレポートをしていきます。セッションのサマリーを理解し、興味があるセッションをチェックすることに、ご活用ください。また、セッションのアーカイブも公開されますので、詳細はそちらをチェックしてください。

本記事は、「クラウドネイティブなワークロードは最新のテクノロジーで防御せよ 最先端のクラウドセキュリティはこれだ(パートナーセッション)」のレポート記事となります。

今回はセッションの中でのサマリーをピックアップしてご紹介いたします。

※詳細はアーカイブセッションをご覧いただけますと幸いです。

セッション概要

概要

従来の Amazon EC2 から、 クラウドネイティブなコンテナやサーバーレスへの移行が加速度的に進行しています。 一方クラウドネイティブな環境を防御するための手法が追いついておらず、 セキュリティ担当者の悩みの種となっています。 パロアルトネットワークスは従来技術に加え、 クラウドネイティブな環境を保護するための専用の技術を開発し、CI/CD ライフサイクル全体を保護します。さらに AWS CloudFormation などの IaC テンプレートのコードを解析し、安全なコードに自動変換する技術を開発し、ユーザーの高速なクラウドプロビジョニングを安全化します。

スピーカー

  • パロアルトネットワークス株式会社 西田和弘氏

レポート内容

クラウドネイティブワークロード保護の必要性

以下のことから、クラウド上のワークロードへの保護の必要性があることを問題提起されています。

  • 今まではエージェントベースの静的なデプロイメントが主流
  • Auto Scalingなどの動的なワークロードへの対応が困難
  • Dockerコマンド等など動的なリソースマッピングに対応が困難
  • エージェントのインストールが必須であり、フルマネージドな環境への対応が困難
  • IaCへのセキュリティ対応はできないのか?

Prisma Cloudが保護するクラウドネイティブアプリケーション

Paloalto社が提供するPrisma Cloudがカバーするセキュリティ範囲や機能について紹介されています。このセッションでは、CWPクラウドコードセキュリティに主軸を置いてご紹介されております。

CSPM

CWP(クラウドワークロードプロテクション)

  • 保護対象
    • EC2
    • コンテナ
      • EKS
      • ECS
    • Fargate
    • AWS Lambda
    • レジストリ、イメージ
      • ECR
      • AMI
  • 仕組み
    • Prismaコンソール側での防御
      • サンドボックス
        • マルウェアスキャン
      • 脆弱性DB
        • 情報収集
    • ユーザーのAWS環境での防御
      • EC2
        • Defender(クラウドネイティブなエージェント)
      • コンテナ
        • 脆弱性、コンプライアンスのスキャン、ランタイム防御
  • EKS、ECSへの防御
    • 保護専用コンテナにContainer Defenderを導入
    • 個々のコンテナにエージェントのインストールは不要
  • Fargateへの防御
    • サイドカーコンテナとして動作して、WAAS・ランタイム防御を提供
  • ランタイム防御
    • 振る舞い学習により、アプリへの不正行為をブロック
    • 設定ファイル、Dockerfile、起動コマンドなどからリッスンするポートなどを機械学習によって認識
    • 業務アプリが使うポートと同じポートを利用して不正なプロセスがアクセスしていることを判定してブロックすることが可能
  • WAAS (Web Application & API Security)の機能
    • OWASP Top 10準拠のWAF防御
    • RASP(入力データ検査)も可能
  • イメージスキャン機能
    • レジストリ上のイメージをスキャンし、脆弱性、マルウェア、秘密情報を検出
  • エージェントレスでも仮想マシンへの脆弱性スキャンのみであれば可能
    • 仮想ディスクから一時的なスナップショット作成
    • 一時的なスキャン専用VMがスナップショットに対してスキャンを実施する
  • CIツールとの連携も可能に
    • レジストリ上のイメージの脆弱性。マルウェア等をスキャン
    • デプロイ時に脆弱なイメージの起動をブロック
    • アプリイメージの登録時に脆弱なイメージのレジストリへのプッシュをブロック
    • マニフェストのスキャンを行い、安全でないIoCコードを修正
  • フォレンジック
    • ワークロード上の主要なイベントをログ、可視化しインシデント後にルートコーズの調査が可能

CIEM

CNS(クラウドネットワークセキュリティ)

クラウドコードセキュリティ

  • コンテナコードセキュリティ
    • CloudFormationのテンプレートに対して、セキュリティ設定ができていない場合が多くある
    • Github等と連携して、プリズマクラウドに送信して、コードを修正することができる

まとめ

ビジネスの加速化や柔軟な対応が求められる社会の中で、従来のAmazon EC2から、クラウドネイティブなコンテナやサーバーレスへの移行が進んでいっています。AWSのサービスにおいてもセキュリティ対策のサービスが急速に整備されているものの、クラウドネイティブなサービスへのセキュリティ対応は追いついていない現状だということが分かります。こういったISVとの製品も併せて、高度化する攻撃者からの脅威から守っていくことが、今後のビジネス課題となっていくのではないでしょうか。