VM、ホスト、Kubernetes、クラウドサービスを保護する

第 48 回 IT プレス ツアーでは、Sysdig の CEO である Suresh Vasudevan 氏にお会いする機会がありました。彼らの使命は、クラウドイノベーションを加速し、保護することです。

Falco は、クラウドネイティブの脅威検出のためのオープンソース標準です。カーネルからのシステム イベントを監視し、ホスト、コンテナ、Fargate をサポートします。 Falco 上に構築されたワークロード セキュリティ ソリューションには、Microsoft Defender for Cloud、StackRox、Sumo Logic、Giant Swarm などがあります。

Sysdig は、詳細なコンテナフォレンジックとトラブルシューティングを提供します。 Falco を使用すると、ソフトウェアの脆弱性、ランタイムの脅威、構成リスク、コンプライアンスのギャップを特定することで、ソースからランタイムまでクラウドからコンテナまでのセキュリティを提供できます。

クラウド規模でのセキュリティの課題

焦点を当てるべき重要な領域と質問は 4 つあります。

1. 脆弱性管理: 開発者に負担をかけずに脆弱性のバックログを削減し、リスクを管理するにはどうすればよいでしょうか?
2. アイデンティティとアクセス管理: 誰がどのリソースにアクセスでき、実際にどのような権限が使用されているか?
3. 構成管理: クラウド リソースをインベントリし、構成のセキュリティとコンプライアンスを確保するにはどうすればよいでしょうか?
4. 脅威の検出と対応: クラウド内の異常やインシデントを検出して対応するために重要なデータとコンテキストは何ですか?

サプライチェーンセキュリティコンプライアンス

Sysdig は、コードによるサプライ チェーンのセキュリティ コンプライアンスを提供し、運用と対応を目的として設計されています。

彼らは次のようにこれを行います:

• ドリフトを防ぎ、危険な構成をブロックするためのコードとしてのインフラストラクチャの検証。
• 脆弱性管理には CI/CD パイプライン、レジストリ、ホストを使用し、使用中の脆弱性に基づいて優先順位を付けます。
• クラウドの誤った構成およびクラウド インベントリの CPSM と構成管理。
• CIEM の ID およびアクセス管理 (IAM) 使用中の権限に基づく最小権限と優先順位付け。
• クラウドおよびワークロードのランタイム セキュリティに対する脅威検出。
• インシデント対応では、フォレンジック用の詳細なログをキャプチャし、悪意のあるコンテナとプロセスをブロックします。

ランタイム インサイトによりシフトレフト セキュリティが強化され、ソースでの使用中のエクスポージャーの優先的な修復が可能になります。

脅威調査

Sysdig は、顧客および高度な脅威インテリジェンス、パブリック リポジトリのアクティブ スキャン、脆弱性調査、動作ベースの検出、機械学習 (ML) ベースの検出など、多層アプローチを脅威調査に適用します。

同社には、悪意のある行為者やキャンペーンを研究する脅威研究および機械学習の専門家が 12 名います。さらに、Falco を搭載したサンドボックス テクノロジーを使用して、コンテナ イメージ レジストリ、GitHub、ダーク ウェブのパブリック リポジトリを積極的にスキャンします。

彼らは、自動化されたフォレンジックとビッグデータ分析を使用して、数十の地域にあるすべての主要なクラウドベンダーにわたる何百もの公開アプリケーションを対象とした、マルチクラウドのコンテナネイティブなハニーポット ネットワークを作成しました。

彼らはクラウドネイティブテクノロジーの脆弱性を継続的に調査し、責任ある開示を行っています。さらに、すぐに使用できる検出ルールを使用して疑わしい動作が特定されると、ユーザーを保護します。

機械学習は、ビットコインマイナーなどのドメイン固有の検出問題を解決するのに最適です。彼らは現在、機械学習を使用して、99% の精度で暗号通貨マイナーを早期に検出しています。さらに、プロセス アクティビティ テレメトリは、悪意のある動作を正確に検出するために必要なレベルの粒度を提供します。

使用中のリスク露出を優先する

実行時に悪用された脆弱性はわずか 15% でした。脆弱性、構成、権限、Kubernetes ネットワーク接続を監視するために使用されているリスク露出フィルターを使用することで、ユーザーは最も重要なリスクを特定できます。パッケージが使用されていないときはユーザーは調査する必要がないため、脆弱性ごとに 1.5 時間を節約できます。

Risk Spotlight は、実際のリスクをもたらす少数の脆弱性を特定することで、ノイズを排除します。これらは実行時にアクティブなバンドルにバインドされるものです。これにより、虫の騒音が最大 95% 削減されます。

顧客の使用事例

ヤフージャパンには4万以上のKubernetesノードがあります。同社は Sysdig を使用して、CI/CD パイプラインとランタイム環境で脆弱性分析を実行し、逸脱を検出して防止し、コンプライアンスを追跡しています。

グローバル決済プロセッサは AWS と GCP クラウドを使用しています。彼らは Sysdig を使用して、Kubernetes ランタイム セキュリティと、ユーザーのクラウド アクティビティ ログに基づくリアルタイムの異常および脅威検出を提供しています。

ゴールドマン・サックスには 140,000 を超える Kubernetes ノードと数千のアプリケーションがあります。彼らは Sysdig を使用して、Linux VM およびコンテナのエンドポイント検出と応答を提供し、重要なランタイム データを抽出して脅威検出とセキュリティ分析を提供します。

FINRA には 3,000 を超える Fargate ジョブと EC2 ホストがあります。同社は、パイプラインとランタイムイメージのスキャン、および Fargate ベースのアプリケーションの脅威の検出と対応に Sysdig を使用しています。