Kubernetes セキュリティからクラウドネイティブ アプリケーション セキュリティへ

多くの組織は、セキュリティの洞察を得るためにアプリケーション コードとインフラストラクチャをスキャンして分析するメカニズムに最初に重点を置くため、開発と運用にまたがる重複して緩く統合されたツールの複雑なセットが、実際にはエンジニアリング チームが開発プロセス中にセキュリティの問題に対処することを妨げるというアンチパターンになることがよくあります。また、従来のセキュリティ ツールは静的な環境向けに構築されているため、クラウド ネイティブ アプリケーション開発の動的かつ急速に進化する性質を考えると、あまり効果的ではないことがよくあります。

クラウド ネイティブ アーキテクチャにより、組織はスケーラブルで動的なアプリケーションを構築および実行できるようになりますが、課題がないわけではありません。 Cloud Security Alliance (CSA) によると、セキュリティ専門家とエンジニアリング チームの 70% が「シフト レフト」に苦労しており、アンチパターンの形成を認識できず、クラウド ネイティブ開発、コスト、ガバナンス、文化的哲学などを理解していない人が多くいます。

パラダイムシフトを認識する

CNCF 年次レポートの内訳で説明されているように、回答者の 55% は毎週またはより頻繁にコードをリリースし、18% は 1 日に複数回コードをリリースしています。マイクロサービスの継続的な採用と実装により、組織や従来のアプリケーション セキュリティ ツールでは、開発プロセス全体を通じてソフトウェアの脆弱性を追跡することがますます困難になっています。 DevSecOps プラクティスと自動化されたセキュリティ ツールを実装するエンジニアリング チームは、セキュリティ リスクを早期に検出し、開発者の時間を節約し、リリース サイクルを高速化し、より安全で準拠したコードを提供できるようになります。

さらに、データ侵害、ゼロデイ脆弱性、プライバシー侵害などのセキュリティ インシデントのビジネスへの影響は今後も拡大する一方であり、組織にとってセキュリティがデジタル変革とクラウドネイティブ アプリケーション開発の重要な部分であることを保証することが絶対に必要になります。 Solar Winds、Zoom、あるいはデータ侵害の影響を受ける他の多くの企業にとって、そのリスクは大きく、その結果は顧客の喪失から破産まで多岐にわたります。米国では、データ侵害による企業への平均的な損害は 905 万ドルに上り、Log4j のゼロデイ脆弱性は数億のアプリケーションとデバイスに影響を及ぼし、データ プライバシー規制により 8 億 8,800 万ドル (USD) の罰金が発生しています。組織は、クラウド ネイティブ開発によってもたらされる進化する脅威のダイナミクスを (文字通り) 無視できなくなりました。

開発者にセキュリティ意識を喚起する

開発者はアプリケーションの構築方法を知っていますが、安全に構築するには適切なツール、洞察、プロセス、文化が必要です。残念ながら、エンジニアリング チームが安全な開発という追加の責任を確実に負うことは、DevSecOps の実装において最も困難かつ重要な部分の 1 つです。 SANS 2022 DevSecOps 調査: 組織のセキュリティ体制を劇的に改善する文化の創造によると、経営陣のサポートは DevSecOps セキュリティ プログラムの成功に最も貢献する要因です。組織には、リーダーを関与させ、安全性の推進者を動員し、安全性が完了の定義の不可欠な部分となるようにする構造化されたアプローチが必要です。

さらに、エンジニアリング、セキュリティ、運用の連携を確保することで、開発者は「スキルアップ」し、Web アプリケーションのセキュリティ向上に役立つ技術の学習と実装に重点を置くことが奨励され、さらに重要なことに、チームがセキュリティを設計およびコーディング フェーズの早い段階に移行できるようになります。たとえば、OWASP クラウド ネイティブ アプリケーション セキュリティ トップ 10 では、クラウド ネイティブ アプリケーションの最も顕著なセキュリティ リスク、それに伴う課題、およびそれらを克服する方法に関する情報が提供されています。 OWASP Top 10 では、CI/CD パイプラインへのセキュリティの統合、クエリのパラメータ化、すべての入力の検証、エラー処理の実装、ログ記録戦略の改善、セキュリティ フレームワークの活用、保存データの保護と暗号化、機密データの露出の削減、安全なアクセス制御の実装などのガイドラインが推奨されています。

包括的、優先順位付けされた実用的な洞察

さまざまな理由（特にスピードと柔軟性）により、ソフトウェア開発は、1 人の開発者がゼロからコードを書くという貢献をはるかに超えて進化しました。既存のライブラリからアプリケーションを組み立て、カスタム コードを使用してそれらを接続することは一般的ですが、リスクがまったくないわけではありません。

• 世界中の IT 組織の 95% 以上が、ミッションクリティカルな IT ワークロードにオープンソース ソフトウェア (OSS) を使用しています。
• 2021 年には、ソフトウェア サプライ チェーン攻撃が 300% 以上増加しました。
• オープンソースおよびサードパーティのコードでは、毎年 20,000 件を超える Common Vulnerabilities and Exposures (CVE) が発見されています。

開発者セキュリティ プラットフォームの 5 つの評価基準で説明したとおりです。

• クラウド ネイティブ インストルメンテーション: アプリケーション ランタイムに関する詳細な情報を提供し、非侵入的で、クラウド ネイティブ アプリケーションで適切に拡張できるインストルメンテーションを提供します。
• 優先順位付けされた包括的なセキュリティ分析情報: アプリケーション コード、依存関係、コンテナ イメージ、Web インターフェース全体の使用情報やスタック トレースなどのアプリケーション対応のコンテキスト情報を提供します。
• 開発者教育: 開発者にタイムリーで状況に応じた実用的なセキュリティ情報を提供する
• CI/CD 統合と開発者エクスペリエンス: セキュリティとコンプライアンスのテストを CI/CD パイプラインにシームレスに統合して自動化します。セキュリティがコンプライアンスに与える影響を理解します。コンプライアンス目標を達成することで、顧客データのセキュリティとプライバシーを確​​保します。

オープンソース ソフトウェアの使用の増加と、成熟した DevOps パイプラインによってもたらされる俊敏性と柔軟性が相まって、開発速度がセキュリティを上回る領域が引き続き浮き彫りになっています。このため、エンジニアリング チームは、実行中のアプリケーションを監視して、コンテキストに応じたアプリケーション対応の情報を開発者に提供できるツールを評価する必要があります。これには、使用状況情報、スタック トレース、アプリケーション コード、依存関係、コンテナー イメージ、Web インターフェースを網羅した包括的な分析情報などが含まれる場合があります。アプリケーション コンポーネント全体にわたる脆弱性と安全でないコードの識別と相関関係は、開発者が最も重要なセキュリティ リスクを発見し、優先順位を付け、修復するのを支援することで、エンジニアリング チームがアラート疲れを防ぐことをサポートできます。

自動セキュリティテスト

ほとんどのエンジニアリング チームが DevSecOps の導入を検討する場合、開発と運用全体でセキュリティをシームレスに統合および自動化する機能は必須の機能です。しかし、従来のアプリケーション セキュリティ ツールの多くは、時間のかかる「ゲート」やチェックポイントを通じてフィードバックを提供することに重点を置いており、開発者にとってオーバーヘッドと摩擦を生み出しています。 (ちなみに、これはアンチパターンの素晴らしい例です!) このパターンから脱却することは、開発者にプロセスとツールの遵守を強制することに慣れているセキュリティ チームにとって、実際には大きな変化を意味します。

ただし、既存の CI/CD ワークフローとツールチェーンに直接統合されるテクノロジーとサポート システムに重点を置くことで、エンジニアリング チームが貴重な開発時間を無駄にすることなくコンテキスト切り替えを行うことなく、開発中およびテスト中に実行中のアプリケーションの動作を「自動的に」観察してセキュリティに関する洞察を提供することが目標になります。実際、前の課題に戻ると、すべての機能テストがセキュリティ テストであることを保証することで、「自分で構築し、自分で実行する」という DevOps の哲学をセキュリティの脆弱性の発見と解決にまで拡張できます。