shefuyuta blog

CNAPPとは?~クラウドセキュリティの重要な概念~

こんにちは

 

一応、セキュリティ業界にいる人間の端くれなので、

セキュリティについても語っていきたいと思っている所存です。

 

さて、

今回はCNAPPという

クラウドセキュリティの概念について

お話ししたいと思います。

 

CNAPPは

Cloud Native Application Protection Platform

の略で、

 

つまるところ

クラウドネイティブなアプリケーションを保護するための

プラットフォームで、

 

USのGartnerが提唱する

クラウドセキュリティの概念です。

 

プラットフォームというくらいなので、

保護に必要な複数の機能が備わったサービスなんです。

 

では「複数」というのはどれくらいあるのでしょうか?

 

CNAPPは3つの柱から成る概念として提唱されました。

別の記事で触れたCSPMを始めとし、

CSNS、CWPPの3つの柱が主軸となっています。

 

アルファベットの略称だらけで

いやになってしまいますが、

それぞれ簡単に紹介します。

 

まずCSPMからいきましょうか。

 

まず、CSPMについては上記通り別記事で書いているので

ご興味があれば是非読んでみてください。

 

一言で言うと、

CSPMは

クラウドインフラの設定ミスの見落としを防ぐ為のサービスです。

 

クラウド上では、権限さえあれば

いつでも誰でもリソースを立ち上げることができ、

そしてその権限そのものも

簡単に付与する事ができます。

 

放置すれば

多くのユーザによって

知らない間に無数のリソースが

立ち上げられ、

 

その全てのリソースに

あるべき設定・適切な設定が

適用される保証はありません。

 

ユーザーの管理も含め、

クラウドインフラのリソースとその設定を

しっかりと監視しないと

管理しようにもしきれないのです。

 

もっと言えば

際限なくリソースが増減・変化するので、

年に一回チェックするくらいでは

全く足りません。

 

確実な監視、チェックをし続け、

正しい設定を保持できるようにするのが、

CSPMの役割です。

 

そして2つ目の柱は

CSNS(Cloud Service Network Security)

です。

 

クラウド用の仮想ファイアウォール(UTM)や、

WAF(Web Application Firewall)

というアプリケーション層の防御壁

などが挙げられます。

 

CSPMが人為的な間違い・設定ミスという

内部の脅威

対策をするのに対し、

CSNS

 

不正アクセスやマルウェアなどの

外部の脅威

対策です。

 

IPS(Intorusion Prevention System=侵入防止システム)

アンチウイルス(アンチマルウェア)、

サンドボックスと言ったような脅威対策機能を含めた

様々なセキュリティ機能を兼ね備えた通信制御システム・ゲートウェイが

まずはクラウドインフラ全体を保護する壁となってくれます。

 

アプリケーション層に特化したインジェクション攻撃などは

同じくアプリケーション層に特化した防御壁である

WAFを置いて対策するのが一般的です。

 

そしてもう一つの柱は

CWPP(Cloud Workload Protection Platform)です。

 

クラウドワークロードを保護するための

プラットフォームです。

 

CNAPPというプラットフォームの中に更に

クラウドワークロード用の

プラットフォームが含まれるのでややこしいですが、

 

クラウドワークロードと言っても様々な要素が存在するので、

それらを包括的に保護するためにはそれだけ多くの

セキュリティ機能を用いて対策する必要があります。

 

クラウドワークロードというのは、

基本的にはクラウド環境上で動作する

サーバーリソースなどの稼働環境を

差しますが、

 

サーバ―リソースには

仮想サーバーのインスタンス、コンテナ、サーバレス

など様々な形があります。

 

コンテナもサーバレスも

コンテナ技術を用いた

いわゆるクラウドネイティブなサービスですが、

 

それぞれ仮想サーバーと同じ方法で

セキュリティ対策として充分か

というとそうではありません。

 

クラウドネイティブには、

リソースの最小単位が小さく軽量という特徴があり、

柔軟性、スピード、拡張性といった

クラウドの利点を最大化することに成功しています。

 

一つ一つはとても小さく、

複数のリソースと連携させて使います。

 

そしてその連携する対象には

外部リソース(Open sourceなど)も含まれます。

 

そして基本的にコンテナやサーバレスは

連携先として設定されたリソースを

信頼できるリソースであるということを前提

動作します。

 

つまり

その連携先リソースに脆弱性があれば

その脆弱性を持ったシステムになってしまいますし、

 

万が一マルウェアが潜んでいれば

何のためらいもなくシステム内に引き込んでしまいます。

 

そしてそんなクラウドネイティブの挙動を

人の目で全て監視するというのは

不可能です。

 

人間の血液の循環を人の目で監視しようとしているようなものです。

 

変な例えですが、

それほどに無謀なチャレンジです。

 

だからこそ

それができるシステムを使って

コンテナやサーバレスの潜在的なリスク

自動的に排除していく必要があり、

それを包括的に実現できるのが

CWPPです。

 

CSNSはなんとなく想像しやすいと思いますが、

CWPPについては

曖昧な説明に終わってしまいましたので、

CSPMの後に語っていきたいと思っています。

 

いかがでしたでしょうか

少しでも皆さんの

お役に立てれば幸いです。

 

またご意見などがありましたら、

是非とも以下SNSからご連絡お待ちしています。

 

最後に、

セキュリティに関する情報をYoutubeでも展開していきたいと思っていますので、

是非流し見ていただければ幸いです。↓

shefutech Channel

ではまた。