コンテナとサーバーレス プラットフォームに基づくクラウド ネイティブ アプリケーションは、世界中の組織で急速に導入されています。クラウド ネイティブ アプリケーションは、スケーラビリティ、比類のない回復力、高速な開発速度をもたらしますが、課題ももたらします。 クラウドネイティブ アプリケーションには多数の可動部分があり、一時的なアーキテクチャ コンポーネントに基づいています。これにより、操作と保守が困難になります。さらに、当然ながら安全上のリスクもあります。クラウドネイティブ セキュリティには、新しいソリューション、戦略、ツールが必要です。ここでは、企業のクラウドネイティブ セキュリティの向上に役立つ 5 つのヒントを紹介します。
クラウドネイティブとは何ですか?クラウド ネイティブ アプリケーションはクラウド用に作成され、開発、展開、テスト、アップグレードといったソフトウェア開発ライフサイクル全体がクラウド環境で完了します。 「クラウド」の概念はパブリック クラウドに限定されず、リモート リソースとローカル リソースの両方を備えたハイブリッド クラウドや、複数のクラウド プロバイダーを備えたマルチクラウド環境を意味する場合もあります。 Cloud Native Computing Foundation (CNCF) は、クラウド ネイティブ コンピューティングでは、コンテナ化、マイクロサービス構造、動的オーケストレーションの 3 種類のツールを使用する必要があると考えています。コンテナ化とは、ソフトウェアとその関連する依存関係をバインドして、ソフトウェアを移植可能かつスケーラブルにすることを意味します。動的オーケストレーションには、Kubernetes などのツールを使用してクラウド コンテナを管理することが含まれます。マイクロサービス構造によりリソースを最適化できます。コンテナは、別のクラウドネイティブ コンピューティング機能であるサーバーレス関数に置き換えることができます。 クラウドネイティブのセキュリティの課題クラウドネイティブ アプリケーションは、インフラストラクチャとアプリケーションのセキュリティにさらなる課題をもたらします。主な課題は次のとおりです。
クラウドネイティブアプリケーションを保護する方法クラウド ネイティブ アプリケーションを保護するには、セキュリティのシフトレフト、機能およびコンテナ レベルでの境界セキュリティの適用、最小の役割と最小権限の適用、アプリケーションの依存関係の保護、セキュリティ責任の共有など、複数の方法があります。 1. 安全を左にシフトする多くの企業は、クラウドネイティブ アプリケーション環境の速度、規模、動的ネットワークに対応できない既存のツールを依然として使用しています。サーバーレス機能を追加すると、インフラストラクチャ全体がより抽象化され、問題はさらに深刻になります。 サイバー攻撃者は、コンテナやサーバーレス コードの脆弱性、クラウド インフラストラクチャの構成ミスを探し、機密情報を含むエンティティにアクセスし、それを利用して権限を昇格し、他のエンティティを攻撃します。 もう 1 つの問題は、企業が CI/CD ツールを使用してアプリケーションを継続的に開発、テスト、リリースしていることです。コンテナを使用してクラウドネイティブ アプリケーションをデプロイする場合、開発者はローカル ライブラリまたはパブリック ライブラリからイメージを取得しますが、通常、これらのイメージにセキュリティ リスクが含まれているかどうかはチェックしません。 解決策の 1 つは、信頼できないイメージが CI/CD パイプラインに入るのを防ぐツールをセキュリティ チームに提供し、信頼できないイメージが本番環境に入る前にセキュリティ上の問題を引き起こすのを防ぐメカニズムを有効にすることです。開発プロセスの早い段階でイメージをスキャンして脆弱性やマルウェア コンポーネントなどを検出することにより、開発者はセキュリティ標準を強制できます。 2. 機能レベルとコンテナレベルで境界セキュリティを適用するサーバーレス アプリケーションでは、システムは、さまざまなリソースからプロジェクト トリガーを受け取ることができる複数の呼び出し可能なコンポーネントに分割されます。これにより、攻撃者はより多くの攻撃オプションと悪意のある動作を実行する方法を得ることができます。 重要な方法の 1 つは、クラウド ネイティブ環境向けに作成された API およびアプリケーション セキュリティ ツールを使用することです。これに加えて、関数レベルで境界セキュリティを使用することが一般的です。つまり、関数が通常とは異なるソースによってトリガーされたかどうかを識別し、異常がないかイベント トリガーを監視します。 コンテナ化された環境では、オーケストレーション コントロール プレーン、物理ホスト、ポッド、コンテナなど、さまざまなレベルでセキュリティを実装することが重要です。オーケストレーション セキュリティのベスト プラクティスには、ノードの分離、コンテナー間のトラフィックの制限と監視、API サーバーに対するサードパーティの認証メカニズムの使用などがあります。 3. 最小限の役割と最小限の権限クラウド ネイティブ リソース間では、頻繁なやり取りが多数発生します。サーバーレス関数またはインスタンスごとに固有の権限を構成できると、セキュリティを大幅に向上できます。アクセス制御は、機能ごとに IAM を使用するか、コンテナにきめ細かい権限を適用することで強化できます。少し時間を取って、各機能またはコンテナに対して最小限のロールまたは権限セットを作成してください。これにより、クラウド ネイティブ アーキテクチャの 1 つのポイントが侵害された場合でも、発生する損害は最小限に抑えられ、他のコンポーネントで権限昇格の問題が発生するのを防ぐことができます。 4. アプリケーションの依存関係を保護するサーバーレス関数とアプリケーション コードは、多くの場合、npm や PyPI などのリポジトリから依存関係を取得します。 アプリケーションの依存関係を保護するには、完全なオープンソース コンポーネントとその脆弱性データベースを含む自動化ツールが必要です。同様に、開発プロセス中に安全な動作をトリガーできるクラウドネイティブのオーケストレーション ツールも必要です。これらのツールを継続的に実行することで、潜在的に危険なコード パッケージやコンテナーが生産ラインで実行されるのを防ぐことができます。 5. 安全に対する責任の共有開発者、DevOps、セキュリティ チーム間の緊密な関係を構築します。開発者はセキュリティの専門家ではありませんが、コードを安全に記述できるようにセキュリティの実践方法を教えることはできます。セキュリティ チームは、アプリケーションがどのように開発、テスト、展開されるか、またプロセスでどのようなツールが使用されるかを把握し、これらのプロセスにセキュリティ要素を効果的に追加できるようにする必要があります。 クラウド ネイティブでは、セキュリティと開発を管理するためのさまざまなエンタープライズ方法が必要になるため、さまざまなチーム間のギャップをできるだけ早く減らすことが重要です。クラウド ネイティブの導入は、企業がコラボレーションと共有の文化を育む貴重な機会です。 結論はこの記事では、保護する必要があるエンティティの数の多さや、絶えず変化する環境と構造など、クラウド ネイティブの課題について触れています。同様に、クラウド ネイティブ環境を改善できる 5 つのベスト プラクティスが示されています。
レビュービジネスのペースが加速するということは、サーバーレス アプリケーションなどのクラウド ネイティブ アプリケーションが企業でますます導入され、クラウド ネイティブ セキュリティもさらに注目されるようになることを意味します。この記事で紹介した 5 つのセキュリティ提案のうち、ソフトウェア セキュリティ関連の提案が大部分を占めていることは容易に想像できます。セキュリティ レフト シフト、アプリケーション依存性の保護、DevSecOps セキュリティ コラボレーション全体の実現など、結局のところ開発セキュリティと切り離せないものです。この観点から、クラウドネイティブの活用により、DevSecOpsとAPIセキュリティの重要性はさらに高まります。 |
<<: Containerd の使い方を 1 つの記事で解説
>>: クラウドネイティブの初体験: K8s への Springboot アプリケーションのデプロイ
みなさんこんにちは。私はHongtu Internetです。現在、ウェブサイト最適化SEOは多くの注...
12月12日にWordPressがメジャーアップグレードされ、バージョン3.5「Elvin」にアップ...
最近、淘宝網で売れているのは『童謡三百首』だけではない。国華、合中、紅康の3つの生命保険会社の金融商...
一年を振り返ると、電子商取引プラットフォームとコンテンツプラットフォームの境界が徐々に消え、トラフィ...
まず、第4回「博百有」ウェブマスターコンテストが成功裏に開催されたことをお祝い申し上げます。これはも...
HostCatでは、高級で上品なものから、低級で低俗なものまで、多くのVPSを紹介してきました。とに...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスファン経済の時代では、W...
Greenvaluehost は 2003 年に設立されたアメリカの会社です。登録番号も調べてみまし...
2020年9月9日、「信頼できるクラウド、未来を創る」をテーマにした中国電子クラウド戦略会議が武漢で...
私たちは物事に名前を付けるのが大好きな世界に住んでいます。クラウド コンピューティングに関しては、パ...
かつて「海底捲は学べない」という本で、ある火鍋ブランドが紹介されていました。この火鍋店は、全国チェー...
2014年は中国のインターネット企業が米国株式市場に上場する最初の年と言えるだろう。 4月17日、新...
月給5,000~50,000のこれらのプロジェクトはあなたの将来です2018年10月3日から5日まで...
友好的なリンクの交換は、多くのウェブマスターが毎日行っていることです。特に、初心者のウェブマスターの...
チェック柄は早春の流行アイテムとなり、プログラマーではなく、全国の芝生に登場しています。流行に乗り遅...