クラウドネイティブアプリケーションを保護する方法

クラウドネイティブアプリケーションを保護する方法

クラウド コンピューティングは、展開の流動性と自動化の向上という点で、非常に大きな機能をもたらします。クラウド テクノロジーの導入により、この分野でのアプリケーション開発専用に構築されたクラウド ネイティブ ツールが使用されるようになります。ただし、クラウドネイティブ ツールには、構成ミス、既知の脆弱性、漏洩した秘密情報などの微妙なセキュリティ問題が伴います。その結果、Snyk の最近のレポートによると、83% の組織がセキュリティをクラウド ネイティブ戦略にとって非常に重要であると考えています。

[[412187]]

Snyk のクラウド ネイティブ アプリケーション セキュリティ レポートでは、何百人もの IT プロフェッショナルを対象に、クラウド ネイティブ セキュリティに関する懸念について調査しました。以下では、レポートから最も重要な点を抜粋し、クラウドネイティブ アプリケーション セキュリティの最も一般的な問題領域を特定し、デプロイメントの自動化とアプリケーション セキュリティのより高いレベルとの間に相関関係があるかどうかを確認します。

クラウドネイティブへの移行

チームは、ソフトウェア主導のアーキテクチャとコードとしてのインフラストラクチャ (IaC) を使用して DevOps を強化するために、クラウド ネイティブ テクノロジーに注目しています。この新しいクラウドネイティブ パラダイムでは、運用ワークロードの 58% がコンテナーとしてデプロイされ、21% がサーバーレスになり、50% がデプロイ プロセスで何らかの形式の IaC を使用しています。

組織はさまざまな理由からクラウドネイティブ テクノロジーに注目しています。まず、コンテナ化されたソフトウェアは速度が向上します。調査によると、68% の組織が展開速度を上げるためにコンテナに移行しました。これに続いて、管理の容易さ(67%)とコストの削減(43%)が続きました。クラウドネイティブ ツールを導入するにはセキュリティも必須です。回答者の 36% は、実稼働アプリケーションをコンテナに移行する主な理由としてセキュリティを挙げています。

クラウドネイティブセキュリティの主な問題

コンテナ、Kubernetes、サーバーレス、IaC などのクラウドネイティブ テクノロジーは開発の高速化を可能にしますが、独自のセキュリティ上の懸念ももたらします。レポートによると、クラウド ネイティブ環境で最も一般的なインシデントの種類は、構成ミスと既知の未修正の脆弱性でした。実際、45% の組織が誤った構成によるインシデントを経験しており、続いて 38% の組織が既知の未修正の脆弱性によるインシデントを経験しています。

その他の一般的なクラウドネイティブ セキュリティ インシデントには、秘密の漏洩、監査の失敗、マルウェアなどがあります。興味深いことに、この調査では、クラウド ネイティブの導入率が高い組織では、内部者によるデータ侵害がより一般的であることも判明しました。報告書によると、クラウド コンピューティングを導入した組織の 38% が内部者によるデータ侵害を経験しているのに対し、クラウド導入が少ない組織ではその数は半分の 17% に減少しています。 API キーなどのシークレットは、特にクラウド ネイティブ ツールがより多くの依存関係を強制するため、慎重に管理する必要があります。 「このような成果物を効果的に管理することが、クラウド以前の集中化された時代との重要な差別化要因です。

自動セキュリティテスト

エンドツーエンドのデプロイメント自動化は有望ですが、ほとんどの開発チームにとってはまだ成熟の初期段階にあります。組織の 95% が何らかのデプロイメント自動化を使用していますが、完全に自動化されたデプロイメント パイプラインを備えている組織は約 3 分の 1 にすぎません。

自動化のレベルを高めた組織では、セキュリティ テストのレベルも高くなる傾向があります。レポートによると、高度に自動化されたパイプラインでは、開発ライフサイクル全体を通じてセキュリティ テストを使用する可能性が 2 倍高いことがわかりました。インシデントは多くの場合、誤った構成や既知の脆弱性によって引き起こされるため、自動スキャンは、運用コードを既知の脆弱性のデータベースと比較することで、多くのクラウドネイティブの問題を特定するのに役立ちます。

では、セキュリティ テストはいつ行われるのでしょうか?通常、これは CI/CD パイプラインで発生します。 60% 以上の組織が CI システムでセキュリティ テストを実行しています。これは、開発プロセスの早い段階でソース コード リポジトリやローカル IDE および CLI ツールをテストすることとは対照的です。テストの頻度に関しては、実装の範囲が広くなります。高度な展開自動化を備えたグループでは、70% が毎日またはより頻繁にセキュリティをテストしています。自動化されたセキュリティ テストはうまく機能しているようで、完全に自動化されたチームの 72% が 1 週間以内に重大な脆弱性を発見して修正しています。

このレポートでは、セキュリティ テストの所有権に関しても興味深い断絶が明らかになっています。セキュリティ エンジニアのうち、開発者がクラウド ネイティブ環境とアプリケーションのセキュリティに責任があると考えているのはごく一部 (10% 未満) ですが、開発者の 36% はセキュリティに責任があると答えています。これらの数字は、安全保障上の責任が開発へと向かっていることを示しているのかもしれない。あるいは、フルサイクル開発がより現実的になるにつれて態度が変化していることを浮き彫りにする可能性があります。いずれにせよ、難しい会話を避けるために、チームは役割を明確にする必要があります。

クラウドネイティブセキュリティ

クラウドネイティブ戦略への移行に伴い、誤った構成などの新たな問題に対処するために、セキュリティ標準も強化されています。アプリケーションに対する脅威の増大に対抗するために、自動化の強化がセキュリティの変革に役立っており、このレポートやその他のレポートは、完全に自動化されたデプロイメント パイプラインとセキュリティ テスト体制の強化との相関関係を明確に示しています。

クラウド ネイティブ ツールを導入した結果、組織の 58% で、クラウド ネイティブ ツールを導入して以来、セキュリティに関する懸念が高まっています。これには、内部向けと外部向けの両方のすべてのインフラストラクチャにわたってゼロトラスト アプローチを採用することが含まれます。レポートによると、組織の 58% が構成エラーについてますます懸念しており、52% が安全でない API についてますます懸念しており、43% が既知の未修正の脆弱性についてますます懸念しており、41% が機密漏洩について懸念していることが示されています。これらのベンチマークが、あなたの組織が他の組織とどのように比較されるかを理解するのに役立ちます。

Snyk のクラウド ネイティブ アプリケーション セキュリティの現状レポートでは、600 人の開発、セキュリティ、運用の専門家にクラウド ネイティブの導入とセキュリティの実践について質問しました。

<<:  Zoom、全額株式交換でFive9を買収へ

>>:  Tencent Cloud Audio and Videoは、超高精細ビデオの視聴体験を向上させるH.266/VVCコーデック標準のサポートを発表

推薦する

ネットセレブやライブストリーミング販売の後に、想像力を働かせる余地はどれくらいあるのでしょうか?

突然の流行により、ライブストリーミングは予想外に全国的な現象となった。 2006年頃から「ライブスト...

図書館のウェブサイトの文書内の外部リンクは役に立ちますか?

百度独自の製品の重みが非常に高いことは誰もが知っています。百度で特定のキーワードを検索すると、百度の...

モバイルウェブサイト構築ソフトウェアを使用してウェブサイトを構築するときに注意すべきいくつかの重要なポイント

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますインターネ...

spearwarenetworks: 40% オフ、無制限の米国トラフィック VPS、Windows サポート、月額 2.1 ドルから

SpearwareNetworksは現在、主に米国南東部フロリダ州タンパのデータセンターでVPSを運...

検索エンジン最適化パート3

みなさんこんにちは、Snow Leopardです。あっという間に春がやってきて、4月も3分の1が過ぎ...

メイクアップサイトはどうすれば女性ユーザーの心を掴むことができるのでしょうか?

化粧品サイトの場合、ターゲットユーザーは全員女性ユーザーであり、女性向けサイトは商品価値が非常に高い...

サイバーマンデー - ドメイン名割引情報の波がやってくる

今年の感謝祭、ブラックフライデー、サイバーマンデーは合計でほぼ1週間続き、遅くとも11月28日午後4...

ウェブサイトのランキングに影響を与える要因の徹底調査:インテリジェントランキングが中核に

現在、SEO 最適化には 2 つの主要な派閥があり、1 つは純粋な技術派閥、もう 1 つは基礎派閥で...

WeChat ミニゲームはモバイルゲームと同じ道をたどるのでしょうか?

WeChatはAndroidデバイス上のいくつかのミニゲームの月間売上高が1000万を突破したことを...

マイクロサービス アーキテクチャを選択するにはどうすればよいでしょうか?

アプリケーションの近代化のトレンドの中で、マイクロサービスは避けられない選択肢ですデジタル経済の継続...

kvmla: シンガポール VPS + 香港 VPS、月払い 20% オフ + 年払い 50% オフ + メモリ 2 倍、シンガポール CN2 GIA + 日本専用サーバー 25% オフ

6月27日より、kvmlaはVPSと専用サーバーのプロモーションを開始しました。(1)香港将軍澳デー...

Hostga「Unspeakable」 - メモリアルデーに年 2 日間 50% オフ プロモーション

Hostga「Indescribable」は、今週の金曜日から来週の月曜日まで、アメリカの戦没者追悼...

Lu Songsong: 家を離れているときにウェブサイトを管理するにはどうすればいいですか?

過去数年間のブログで、私が最も心配しているのは休日です。私が休暇を取ったり、どこかに出かけたりするた...

SEO がすぐに成果を生み出せない理由をご存知ですか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますこれは私の...

WeChat Moments マーケティングにおける 7 つの主な間違い、あなたもその 1 つに当てはまりますか?

1. モーメントで共有されるコンテンツはすべて広告ですバン!撃たれたの?これは、小規模ビジネスの80...