こんにちは
一応、セキュリティ業界にいる人間の端くれなので、
セキュリティについても語っていきたいと思っている所存です。
さて、
前回までの記事でCNAPP
という概念について
そしてCNAPPは2022年にバージョンアップしたと説明しました。
なぜバージョンアップが必要だったのかまでもお話しましたね。
CNAPPは
DevSecOpsを実現するために
CNAPP 2.0に生まれ変わったんです。
ということで今回は、
CNAPPはどのように変わったのか?
CNAPP 2.0ではどのような要素が増えたのか?
そういった話の展開にしていきます。
第三回まで引っ張ってしまいましたが、
今回で一旦は
完結させたいと思っているので
もう少々お付き合いください...
基本的には、
元々あったCNAPPの3つの柱に
DevSecOpsを叶えるための機能を追加したものです。
ではDevSecOpsに必要な物は
どういったものでしょうか?
前回の記事では、
DevOpsのスピードを落とすことなく
開発するシステムやアプリケーションの
リスクを無くすこと。
これがDevSecOpsのゴールだという
お話をしました。
今回お話ししたい内容として、
そのDevSecOpsを達成するためのポイントが2つあります。
一つ目は
見つけられる段階でなるべく早く
リスクを見つけること
そして二つ目は
その検査を自動化することです。
開発プロセスの
早い段階でリスクを見つければ
その対処も効率よく迅速に行うことができます。
そしてその検査を自動化することで
開発者の手間を増やさずに
ライフサイクルを回せるのです。
この二つの理想を合わせた考え方は
Shiftleftと呼ばれ、
DevSecOpsの要となります。
ここからようやく
機能の話になるのですが、
Shiftleftを実現するために必要なのは
CI/CDパイプラインに
セキュリティの検査機構を連携させて
そのパイプラインの過程で自動的に
検査を行う機能です。
これにより、
開発チームの手間を
最小限に抑えつつ、
リスクも最小限に抑えることができます。
このCI/CDのセキュリティ
及びIACなどのソースコードのスキャンは
CNAPP 2.0の重要項目になっています。
これだけでも既に
DevSecOpsは叶えられそうに思えますが、
CNAPP 2.0の新機能は
それだけではありません。
DevOpsのライフサイクルには
当然本番環境の運用も
含まれますよね。
つまり
開発後、リリース後の
環境を運用するステージがあります。
当然この段階においても
しっかりと保護していかなければいけない
というのがCNAPPの考え方です。
さて、CNAPPの3つの柱の内
CWPPという概念が
あったのを覚えていますでしょうか。
Cloud Workload Protection Platformですね。
クラウド上のワークロードを
保護する機能だと説明しました。
そしてクラウド上のワークロード
と言っても様々な形が存在すると
説明しました。
単純にサーバーリソースを
仮想的に提供するインスタンスや、
インスタンスごと、
若しくはマネージドサービスを用いて
更に細かなプロセス単位でリソース管理ができる
コンテナや、
同じコンテナ技術を用いて
アプリケーションの機能単位で
管理することができる
サーバレスがそれにあたります。
そしてコンテナやサーバレスには
連携設定された外部のリソースを完全に信頼してしまうため
外部リソースの脆弱性を引き込みかねない
というリスクがあると説明しました。
よってそれぞれの技術に沿って
代わりにそのリスクを検知できる
何かが必要なんです。
そしてその上で、
それぞれの稼働中の動きを監視し、
異常な動きを阻止する機能も
必要です。
これら全ての機能を
まとめてしまうと要するにCWPPなのですが、
クラウドワークロードを保護する「プラットフォーム」
だけだと少し曖昧なので
サーバレス、コンテナ(特にKubernetes)、
そしてクラウドネイティブな技術には
必要不可欠なAPI、
それら全てをしっかりと保護できる
という明確な基準が
CNAPP 2.0で置かれています。
更にもう一つ、
CSPMの方も進化しています。
クラウド上のデータを内部脅威から守るためには、
ユーザー情報(IAM)の管理が重要です。
大きなリスクは
このIAMの設定ミスで発生します。
そこでCNAPP 2.0では
CIEM(Cloud Infrastructure Entitlement Management)
という概念が提唱されています。
つまるところ
クラウド環境上のユーザー権限の管理
ということです。
クラウド上のユーザーが
必要以上にアクセス権を持たないように
最小特権の原則に従った
設定を維持することが
CIEMの目的です。
CSPMの記事辺りで
詳しく書いていきたいと思います。
ということで、
元のCNAPPと比べると
全部で6項目も増えています。
複雑そうですが
よくよく見てみると
元々あった3つの柱を
更に細かく分けて、
その全てを包括的に
実現できるものである。
というだけの話なんです。
概念としては
シンプルなのですが、
細かくなった分
実現するとなると
大変そうですね。
ただ逆に言うと
それさえクリアできれば
安全なクラウドインフラを
構築できていると
言うことができます。
CNAPP 2.0を実現し、
安全なクラウド環境を
作っていきましょう。
いかがでしたでしょうか
少しでも皆さんの
お役に立てれば幸いです。
またご意見などがありましたら、
是非とも以下SNSからご連絡お待ちしています。
最後に、
セキュリティに関する情報をYoutubeでも展開していきたいと思っていますので、
是非流し見ていただければ幸いです。↓
shefutech Channelではまた。