VM、ホスト、Kubernetes、クラウドサービスを保護する

VM、ホスト、Kubernetes、クラウドサービスを保護する
実行時にアクティブなパッケージに焦点を当てることで、重要なものを優先します。

第 48 回 IT プレス ツアーでは、Sysdig の CEO である Suresh Vasudevan 氏にお会いする機会がありました。彼らの使命は、クラウドイノベーションを加速し、保護することです。

Falco は、クラウドネイティブの脅威検出のためのオープンソース標準です。カーネルからのシステム イベントを監視し、ホスト、コンテナ、Fargate をサポートします。 Falco 上に構築されたワークロード セキュリティ ソリューションには、Microsoft Defender for Cloud、StackRox、Sumo Logic、Giant Swarm などがあります。

Sysdig は、詳細なコンテナフォレンジックとトラブルシューティングを提供します。 Falco を使用すると、ソフトウェアの脆弱性、ランタイムの脅威、構成リスク、コンプライアンスのギャップを特定することで、ソースからランタイムまでクラウドからコンテナまでのセキュリティを提供できます。

クラウド規模でのセキュリティの課題

焦点を当てるべき重要な領域と質問は 4 つあります。

  1. 脆弱性管理: 開発者に負担をかけずに脆弱性のバックログを削減し、リスクを管理するにはどうすればよいでしょうか?
  2. アイデンティティとアクセス管理: 誰がどのリソースにアクセスでき、実際にどのような権限が使用されているか?
  3. 構成管理: クラウド リソースをインベントリし、構成のセキュリティとコンプライアンスを確保するにはどうすればよいでしょうか?
  4. 脅威の検出と対応: クラウド内の異常やインシデントを検出して対応するために重要なデータとコンテキストは何ですか?

サプライチェーンセキュリティコンプライアンス

Sysdig は、コードによるサプライ チェーンのセキュリティ コンプライアンスを提供し、運用と対応を目的として設計されています。

彼らは次のようにこれを行います:

  • ドリフトを防ぎ、危険な構成をブロックするためのコードとしてのインフラストラクチャの検証
  • 脆弱性管理には CI/CD パイプライン、レジストリ、ホストを使用し、使用中の脆弱性に基づいて優先順位を付けます。
  • クラウドの誤った構成およびクラウド インベントリの CPSM と構成管理
  • CIEM の ID およびアクセス管理 (IAM) 使用中の権限に基づく最小権限と優先順位付け。
  • クラウドおよびワークロードのランタイム セキュリティに対する脅威検出。
  • インシデント対応では、フォレンジック用の詳細なログをキャプチャし、悪意のあるコンテナとプロセスをブロックします。

ランタイム インサイトによりシフトレフト セキュリティが強化され、ソースでの使用中のエクスポージャーの優先的な修復が可能になります。

脅威調査

Sysdig は、顧客および高度な脅威インテリジェンス、パブリック リポジトリのアクティブ スキャン、脆弱性調査、動作ベースの検出、機械学習 (ML) ベースの検出など、多層アプローチを脅威調査に適用します。

同社には、悪意のある行為者やキャンペーンを研究する脅威研究および機械学習の専門家が 12 名います。さらに、Falco を搭載したサンドボックス テクノロジーを使用して、コンテナ イメージ レジストリ、GitHub、ダーク ウェブのパブリック リポジトリを積極的にスキャンします。

彼らは、自動化されたフォレンジックとビッグデータ分析を使用して、数十の地域にあるすべての主要なクラウドベンダーにわたる何百もの公開アプリケーションを対象とした、マルチクラウドのコンテナネイティブなハニーポット ネットワークを作成しました。

彼らはクラウドネイティブテクノロジーの脆弱性を継続的に調査し、責任ある開示を行っています。さらに、すぐに使用できる検出ルールを使用して疑わしい動作が特定されると、ユーザーを保護します。

機械学習は、ビットコインマイナーなどのドメイン固有の検出問題を解決するのに最適です。彼らは現在、機械学習を使用して、99% の精度で暗号通貨マイナーを早期に検出しています。さらに、プロセス アクティビティ テレメトリは、悪意のある動作を正確に検出するために必要なレベルの粒度を提供します。

使用中のリスク露出を優先する

実行時に悪用された脆弱性はわずか 15% でした。脆弱性、構成、権限、Kubernetes ネットワーク接続を監視するために使用されているリスク露出フィルターを使用することで、ユーザーは最も重要なリスクを特定できます。パッケージが使用されていないときはユーザーは調査する必要がないため、脆弱性ごとに 1.5 時間を節約できます。

Risk Spotlight は、実際のリスクをもたらす少数の脆弱性を特定することで、ノイズを排除します。これらは実行時にアクティブなバンドルにバインドされるものです。これにより、虫の騒音が最大 95% 削減されます。

顧客の使用事例

ヤフージャパンには4万以上のKubernetesノードがあります。同社は Sysdig を使用して、CI/CD パイプラインとランタイム環境で脆弱性分析を実行し、逸脱を検出して防止し、コンプライアンスを追跡しています。

グローバル決済プロセッサは AWS と GCP クラウドを使用しています。彼らは Sysdig を使用して、Kubernetes ランタイム セキュリティと、ユーザーのクラウド アクティビティ ログに基づくリアルタイムの異常および脅威検出を提供しています。

ゴールドマン・サックスには 140,000 を超える Kubernetes ノードと数千のアプリケーションがあります。彼らは Sysdig を使用して、Linux VM およびコンテナのエンドポイント検出と応答を提供し、重要なランタイム データを抽出して脅威検出とセキュリティ分析を提供します。

FINRA には 3,000 を超える Fargate ジョブと EC2 ホストがあります。同社は、パイプラインとランタイムイメージのスキャン、および Fargate ベースのアプリケーションの脅威の検出と対応に Sysdig を使用しています。

<<:  IDCは、天一クラウドが政府パブリッククラウドインフラ市場で再びトップにランクされたというレポートを発表しました。

>>:  Docker はクリーンな Ubuntu システムを作成し、Android ソースコードをコンパイルします

推薦する

WeChatの「カスタムインターフェース」の内部テストまたはAppストアプラットフォームの構築

WeChat は「カスタム インターフェース」をテスト中、または App Store プラットフォー...

ウェブサイトのトラフィック、ランキング、ビジネス量を増やすための最も重要な方法は何ですか?

ウェブサイトを構築した後、ほとんどのウェブマスターは、ウェブサイトのランキングをすぐに改善し、ウェブ...

分散アーキテクチャはデータセンターの未来でしょうか?

1. データセンターとは何ですか?データセンターとは何ですか? Baidu 百科事典では、データ セ...

WeChatはサービスアカウントに年会費を課すという噂がある。テンセント:ノーコメント

北京ニュース(劉霞記者)WeChatは商業化に向けて重要な一歩を踏み出すかもしれない。昨日の市場ニュ...

分散ストレージの技術動向(第3部): デュアルRAIDメカニズムとトリプルレプリカ

[[386286]]デュアル RAID は 3 つのコピーの欠陥を効果的に解決できますか?まずは両者...

Baidu 関連ドメインを素早く増やしてウェブサイトの重量を改善する方法

今朝のフォーラムの SEO セクションで、なぜウェブサイトのページ自体がドメイン: ドメイン名の後に...

マッキンゼー:これらの10のトレンドは、既存のITインフラを覆すのに十分である

ハードウェアやさまざまな IT インフラストラクチャに関して言えば、人々は常に、データセンターや地下...

SEO スタッフ: キーワードを調査する理由

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますウェブ最適...

ウェブサイト最適化のための7つのヒント

ウェブサイトの速度に関して、著者はいくつかの実用的な方法をまとめました。ホームページを作成するときに...

エッジコンピューティングがスマートシティの公共安全構築を推進

都市の治安における3つの大きな変化我が国がスマートシティの概念を提唱してから10年以上が経ちました。...

人気の「リトル・レッド・ブック」の背景にある新たな消費者行動

小紅書は草植え経済の中心であり、最も典型的な代表であり、コンテンツの推奨とコンテンツの植え付けを通じ...

SEOにおける記事タイトルとページ説明の役割

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています今日、Xi...

360 Baidu がクラウド ホスティング市場に参入し、「3BAT」戦争が勃発

A5 Webmaster Networkは4月14日、360が第2レベルドメイン名(http://c...

ガベージコレクションについて話しましょう。

[[354376]]この記事はWeChatの公開アカウント「Java Geek Technology...

bandwagonhost VPS: 紹介 + 割引コード + レビュー + 初心者向けチュートリアル

bandwagonhost は、中国では一般に「bandwagonhost」として知られており、カナ...