クラウドにおけるアプリケーションの依存関係の管理: 戦略とベストプラクティス

アプリケーション依存関係マッピングの基礎、クラウドコンピューティング環境におけるアプリケーション依存関係の重要性について学習し、4 つの主要なベストプラクティスについて説明します。

アプリケーション依存性マッピングとは何ですか?

アプリケーション依存性マッピング (ADM) を使用すると、企業はエコシステム全体の包括的なマップを作成できます。死角を回避し、間違いや抜け穴を防ぐのに役立ちます。アプリケーション依存性マッピング (ADM) ソリューションは、エコシステム全体のポートやサービスを含むすべてのインスタンス、アプリケーション、通信チャネルを識別してマッピングできます。

ベンダーネイティブ、オープンソース、ベンダーに依存しない商用ツールなど、さまざまなアプリケーション依存関係マッピングソリューションが存在します。ベンダーに依存しないソリューションにより、Microsoft Azure、Google Cloud、AWS などの複数のクラウドコンピューティングプロバイダー上のサブネット、VPC、セキュリティグループを迅速かつ簡単に識別できます。

アプリケーション依存関係マッピングソリューションは、アプリケーションの依存関係を視覚的に表す直感的なマップを表示できます。このマップは共有、検査、計画やトラブルシューティングに使用できます。マップの視覚化は、ビジネス戦略の開発をサポートし、ビジネスシナリオ別に整理し、アラートと情報をリアルタイムで優先順位付けするのに役立ちます。

クラウドコンピューティングにおいてアプリケーション依存関係マッピングが重要なのはなぜですか?

アプリケーション依存関係マッピングは、企業がすべてのアプリケーション依存関係を移行するのに役立ちます。そうしないと、重要な依存関係を見逃し、それなしで移行してしまう可能性があります。その結果、アプリケーションでパフォーマンスの問題や停止が発生する可能性があります。アプリケーション依存関係マッピングは、これらの問題を回避するのに役立ちます。

クラウドコンピューティングプロバイダーは、移行前に依存関係をマッピングすることの重要性を理解しており、Azure、AWS、Google Cloud などのオンプレミス環境向けのアプリケーション依存関係マッピングツールを提供しています。これらのツールは環境に固有の結果を提供するため、これらのクラウドプラットフォームのいずれかに移行する場合にのみ使用する必要があります。

あるいは、ベンダーに依存しないツールを使用することもできます。無料のオープンソースツールなど、さまざまなオプションが利用可能です。ほとんどのツールは、アプリケーションを分析し、サーバー間の関係をモデル化し、受信および送信接続の遅延、必要な TCP ポート、実行中のプロセスを識別します。

クラウドプロバイダーADMツール

（1）AWSアプリケーションディスカバリーサービス

AWS アプリケーション検出サービスは、オンプレミスのデータセンターに関する情報を収集し、企業が移行プロジェクトを計画するのに役立ちます。データセンターの移行には、相互に深く依存する何千ものワークロードが関係することが多いため、移行プロセスの早い段階でサーバーの使用率データを分析し、依存関係のマッピングを実行することが重要です。

AWS アプリケーション検出サービスは、サーバーの使用状況、動作、構成データを集約して提示し、企業がワークロードをより深く理解できるようにします。このサービスでは、データストレージを使用して、収集したデータを暗号化された形式で保存します。

ユーザーはデータを CSV ファイルとしてエクスポートし、それを使用して AWS の総所有コスト (TCO) を見積もり、それに応じてクラウド移行を計画できます。このデータは AWS Migration Hub でも確認でき、ユーザーはこれを使用してサーバーを移行し、移行の進行状況を追跡できます。

（2）Azureアプリケーションインサイト

Azure Application Insights は、リアルタイム Web アプリケーションの監視とスケーラブルなアプリケーションパフォーマンス管理 (APM) を提供する Azure Monitor の機能です。ユーザーは、Azure Application Insights を使用してパフォーマンスの異常を自動的に検出し、分析ツールを使用して問題を診断できます。

この機能はユーザーの行動に関する情報を提供し、ユーザーがアプリで何を行っているかを理解するのに役立ちます。 Azure Application Insights はこのデータを活用して、アプリケーションの可用性とパフォーマンスを継続的に向上させることができます。既定のアプリケーションダッシュボードを使用すると、Azure App Insights で負荷、パフォーマンス、応答性を追跡し、依存関係、AJAX 呼び出し、ページの読み込みを監視できます。

クラウドにおける依存関係管理のベストプラクティスと戦略

（１）修正版

バージョン固定では、アプリケーション内のソフトウェア依存関係のバージョンを制限し、特定のバージョン (理想的には単一のバージョン) が使用されるようにします。

依存関係のバージョンを固定すると、アプリケーションが時間的に固定されます。アプリケーションを再現可能にすることは良い習慣ですが、アプリケーションが依存関係に更新を組み込むのを妨げるという悪影響があり、セキュリティやバグの修正が見逃される可能性があります。

ユーザーは、自動化された依存関係管理ツールを使用してソース管理リポジトリを操作することで、この問題を軽減できます。依存関係マネージャーは、ソフトウェア依存関係の新しいバージョンを監視し、アプリケーションを更新します。通常、これには変更ログデータなどの更新の詳細が含まれます。

（２）ハッシュと署名の検証

パッケージによって公開されたアーティファクトがインストールするものであることを確認する方法はいくつかあります。アーティファクトのハッシュをアーティファクトリポジトリと比較することで、アーティファクトの信頼性とセキュリティレベルを検証できます。

ハッシュ検証により、ユーザーは依存関係に正しいファイルが含まれていること、および悪意のある行為者がそれらを改ざんしていないことを確認できます。アーティファクトの検証または最初の取得中にアーティファクトリポジトリにリストされるハッシュは、安全で侵害されていないと信頼されます。

ユーザーは署名検証を使用して、アーティファクト検証プロセスにセキュリティレイヤーを追加することもできます。アーティファクトは、ソフトウェアメンテナーまたはアーティファクトリポジトリ (またはその両方) によって署名できます。

（３）プライベート依存関係とパブリック依存関係の混在を避ける

クラウドネイティブアプリケーションは通常、オープンソースソフトウェア、サードパーティコード、クローズドソースコンポーネント、内部ライブラリなど、さまざまなコンポーネントに依存します。プライベートリポジトリは、複数のアプリケーション間でビジネスロジックを共有し、同じツールを再利用して外部ライブラリと内部ライブラリをインストールする場合に特に便利です。

ただし、パブリック依存関係とプライベート依存関係を組み合わせると、アプリケーションが依存関係混乱攻撃にさらされる可能性があります。難読化攻撃は、脅威アクターが内部プロジェクトと同じ名前でプロジェクトをオープンソースリポジトリに公開したときに発生します。次に、攻撃者は誤って設定されたインストーラーを使用して、正当な内部パッケージに悪意のあるライブラリを密かにインストールしようとしました。

依存関係の混乱攻撃を回避するのに役立ついくつかのプラクティスを次に示します。

• ロックファイルにハッシュまたは署名をリストして、すべての依存関係を検証します。

• 内部依存関係とサードパーティ依存関係のインストールプロセスが 2 つの異なる手順を使用して分離されていることを確認します。

• プロキシまたは手動プロセスを使用して、サードパーティの依存関係をプライベートリポジトリに明示的にミラーリングします。

（4）脆弱性スキャン

他のコンポーネントと同様に、依存関係には新しく発見された脆弱性やゼロデイ脆弱性が含まれる場合があります。ユーザーは、依存関係をスキャンし、脆弱性が見つかった場合に通知を受け取るプロセスを設定する必要があります。ただし、脆弱性データベース内の依存関係を手動で監視し、サードパーティソフトウェアの依存関係を確実に監査することは困難です。

脆弱性スキャナーは依存関係を自動的かつ継続的に分析し、脆弱性が発見されるとすぐにそれを探します。脆弱性スキャンツールはロックファイルを使用して、依存するアーティファクトを識別し、新しい脆弱性が発生したときに通知します。アップグレードパスを提案できるツールがあります。