VM、ホスト、Kubernetes、クラウドサービスを保護する

VM、ホスト、Kubernetes、クラウドサービスを保護する
実行時にアクティブなパッケージに焦点を当てることで、重要なものを優先します。

第 48 回 IT プレス ツアーでは、Sysdig の CEO である Suresh Vasudevan 氏にお会いする機会がありました。彼らの使命は、クラウドイノベーションを加速し、保護することです。

Falco は、クラウドネイティブの脅威検出のためのオープンソース標準です。カーネルからのシステム イベントを監視し、ホスト、コンテナ、Fargate をサポートします。 Falco 上に構築されたワークロード セキュリティ ソリューションには、Microsoft Defender for Cloud、StackRox、Sumo Logic、Giant Swarm などがあります。

Sysdig は、詳細なコンテナフォレンジックとトラブルシューティングを提供します。 Falco を使用すると、ソフトウェアの脆弱性、ランタイムの脅威、構成リスク、コンプライアンスのギャップを特定することで、ソースからランタイムまでクラウドからコンテナまでのセキュリティを提供できます。

クラウド規模でのセキュリティの課題

焦点を当てるべき重要な領域と質問は 4 つあります。

  1. 脆弱性管理: 開発者に負担をかけずに脆弱性のバックログを削減し、リスクを管理するにはどうすればよいでしょうか?
  2. アイデンティティとアクセス管理: 誰がどのリソースにアクセスでき、実際にどのような権限が使用されているか?
  3. 構成管理: クラウド リソースをインベントリし、構成のセキュリティとコンプライアンスを確保するにはどうすればよいでしょうか?
  4. 脅威の検出と対応: クラウド内の異常やインシデントを検出して対応するために重要なデータとコンテキストは何ですか?

サプライチェーンセキュリティコンプライアンス

Sysdig は、コードによるサプライ チェーンのセキュリティ コンプライアンスを提供し、運用と対応を目的として設計されています。

彼らは次のようにこれを行います:

  • ドリフトを防ぎ、危険な構成をブロックするためのコードとしてのインフラストラクチャの検証
  • 脆弱性管理には CI/CD パイプライン、レジストリ、ホストを使用し、使用中の脆弱性に基づいて優先順位を付けます。
  • クラウドの誤った構成およびクラウド インベントリの CPSM と構成管理
  • CIEM の ID およびアクセス管理 (IAM) 使用中の権限に基づく最小権限と優先順位付け。
  • クラウドおよびワークロードのランタイム セキュリティに対する脅威検出。
  • インシデント対応では、フォレンジック用の詳細なログをキャプチャし、悪意のあるコンテナとプロセスをブロックします。

ランタイム インサイトによりシフトレフト セキュリティが強化され、ソースでの使用中のエクスポージャーの優先的な修復が可能になります。

脅威調査

Sysdig は、顧客および高度な脅威インテリジェンス、パブリック リポジトリのアクティブ スキャン、脆弱性調査、動作ベースの検出、機械学習 (ML) ベースの検出など、多層アプローチを脅威調査に適用します。

同社には、悪意のある行為者やキャンペーンを研究する脅威研究および機械学習の専門家が 12 名います。さらに、Falco を搭載したサンドボックス テクノロジーを使用して、コンテナ イメージ レジストリ、GitHub、ダーク ウェブのパブリック リポジトリを積極的にスキャンします。

彼らは、自動化されたフォレンジックとビッグデータ分析を使用して、数十の地域にあるすべての主要なクラウドベンダーにわたる何百もの公開アプリケーションを対象とした、マルチクラウドのコンテナネイティブなハニーポット ネットワークを作成しました。

彼らはクラウドネイティブテクノロジーの脆弱性を継続的に調査し、責任ある開示を行っています。さらに、すぐに使用できる検出ルールを使用して疑わしい動作が特定されると、ユーザーを保護します。

機械学習は、ビットコインマイナーなどのドメイン固有の検出問題を解決するのに最適です。彼らは現在、機械学習を使用して、99% の精度で暗号通貨マイナーを早期に検出しています。さらに、プロセス アクティビティ テレメトリは、悪意のある動作を正確に検出するために必要なレベルの粒度を提供します。

使用中のリスク露出を優先する

実行時に悪用された脆弱性はわずか 15% でした。脆弱性、構成、権限、Kubernetes ネットワーク接続を監視するために使用されているリスク露出フィルターを使用することで、ユーザーは最も重要なリスクを特定できます。パッケージが使用されていないときはユーザーは調査する必要がないため、脆弱性ごとに 1.5 時間を節約できます。

Risk Spotlight は、実際のリスクをもたらす少数の脆弱性を特定することで、ノイズを排除します。これらは実行時にアクティブなバンドルにバインドされるものです。これにより、虫の騒音が最大 95% 削減されます。

顧客の使用事例

ヤフージャパンには4万以上のKubernetesノードがあります。同社は Sysdig を使用して、CI/CD パイプラインとランタイム環境で脆弱性分析を実行し、逸脱を検出して防止し、コンプライアンスを追跡しています。

グローバル決済プロセッサは AWS と GCP クラウドを使用しています。彼らは Sysdig を使用して、Kubernetes ランタイム セキュリティと、ユーザーのクラウド アクティビティ ログに基づくリアルタイムの異常および脅威検出を提供しています。

ゴールドマン・サックスには 140,000 を超える Kubernetes ノードと数千のアプリケーションがあります。彼らは Sysdig を使用して、Linux VM およびコンテナのエンドポイント検出と応答を提供し、重要なランタイム データを抽出して脅威検出とセキュリティ分析を提供します。

FINRA には 3,000 を超える Fargate ジョブと EC2 ホストがあります。同社は、パイプラインとランタイムイメージのスキャン、および Fargate ベースのアプリケーションの脅威の検出と対応に Sysdig を使用しています。

<<:  IDCは、天一クラウドが政府パブリッククラウドインフラ市場で再びトップにランクされたというレポートを発表しました。

>>:  Docker はクリーンな Ubuntu システムを作成し、Android ソースコードをコンパイルします

推薦する

またまた受賞です! | H3CがGNTCカンファレンスで輝き、インテリジェントネットワークの革新をリード

10月22日から24日まで、国家次世代インターネットエンジニアリングセンターが主催し、南京江北新区な...

Baidu K-station事件はすべてのウェブマスターに警鐘を鳴らした

6月28日と7月18日の事件では、ほとんどのウェブマスターが百度によって解放前の時代まで押し戻された...

Google Cloud Platform で仮想マシンを作成する方法は?

[51CTO.com クイック翻訳] クラウドベース コンピューティングの重要な部分は仮想マシンです...

ブラックフライデー 外国ドメインホスティング VPS プロモーション概要

毎年恒例のブラックフライデーがやって来ました。Host Cat では、皆さんがあちこち探し回る必要が...

アンカーはダブルイレブンを失った

今年のダブルイレブンは例年よりも早く盛り上がりました。李佳奇や魏亜など、タオバオのトップキャスターの...

Oracle SaaS が AI 機能を拡張し、Oracle Cloud の市場リーダーシップを強化

2019 MBX カンファレンスで、Oracle は一連の Oracle SaaS イノベーションを...

投資ウェブサイト「Antai Excellence」が突然停止、投資家はパニックに

「安泰精品」という投資サイトが12月17日から開かなくなった。サイトで投資した人々はパニックに陥った...

中国SEOの現状 簡単にランキングを獲得する方法

Sunshine Home Blog は、いわゆる SEO を行うことは実は非常に簡単なことだと考え...

ウィトキー産業の「不十分な」発展を4つの視点から分析する

中国のインターネットユーザー数が5億人に達したため、中国のインターネットの発展は新たなレベルに達しま...

ウェブホスティング - プロモーション概要

Eagle Hosting - ホスティング 25% オフ/再販 40% オフ/セミバーチャルホステ...

ケーススタディ: ユーザー増加のための 12 のゲーミフィケーション戦略

この記事では、ケーススタディを使用して、ゲーミフィケーション設計を通じてユーザー成長を達成する方法を...

ビジネスを台無しにする可能性のあるクラウド コンピューティングの 10 の間違い

クラウドは IT とビジネスの世界を永久に変えました。そして、全体としてこれらの変化は良い方向へ向か...

中間レビュー: M&Aと投資がクラウドベンダーの「ハイライト」になる

COVID-19パンデミックの影響により世界経済は低迷しており、企業のIT支出は当然ながら縮小するで...

V5Net: 物理マシンプロモーション、香港 CN2 サーバー 30% オフ、香港インターナショナル + 香港ハイディフェンス + 韓国 BGP 20% オフ

v5server は現在、香港データセンターの専用サーバーを 30% 割引で提供しています。このサー...

新しい著作権法では、ウェブサイトには海賊版コンテンツを確認する義務がないと提案されている。

漫画/趙春青記者の陸燕霞国家著作権局はこのほど、「中華人民共和国著作権法(改正草案)について国民の意...