自動化はクラウドネイティブアプリケーションのセキュリティの鍵となる

自動化はクラウドネイティブアプリケーションのセキュリティの鍵となる

クラウドファースト戦略を採用している企業は驚異的なペースで成長しています。大規模な企業では、1 日に数千回のデプロイメントが行われ、同じ期間に数十万回のコード変更が行われることもあります。

これに加えて、テクノロジー中心のビジネスでは何百人もの開発者を雇用する可能性があり、そのようなシナリオでは、各プロジェクトを追跡して理解したり、開発者の作業を正確に追跡したりすることが非常に困難になります。このスピードと量により、セキュリティ チームがコードを展開する前にレビューしてテストする初期段階のセキュリティ プログラムはもはや実用的ではなくなります。

DevOps の導入が成功した後、私たちは DevSecOps の時代に入りました。この時代では、セキュリティ チームは開発者がより安全にコードを構築できるようにすることに重点を移し、開発者は安全に構成されたクラウド コンピューティング環境の安全な基盤上に構築された安全なコードに対して責任を負います。

これは余分な作業のように思われるかもしれませんが、一般的なクラウド アプリケーションのコードのうち、アプリケーション固有のものはわずか 20% 程度であるという事実によって、状況はさらに複雑になります。残りには、Linux オペレーティング システム ファイル、オープン ソース ライブラリ、それらの依存関係、およびその他の継承された要素も含まれます。開発者は、アプリケーション、より広範なコード ベース、および構成における潜在的な脆弱性を特定するために、より多くの支援を必要としています。非常に洗練されたセキュリティ ツールセットを採用するには自動化が必要です。

職場でのセキュリティ自動化

自動化にはさまざまな形があり、この分野への最初の一歩はビジネスの現状と主な問題点によって異なります。最初のステップは、設定された間隔でアプリケーションとそのコンポーネントの脆弱性が自動的にスキャンされるようにすることです。米国のクラウド通信プラットフォーム・アズ・ア・サービス企業のシニア・セキュリティ・エンジニアは、「自動化は人為的ミスを排除するため、大規模なセキュリティを確保する上で重要です。自動化すると、より多くの脆弱性が見つかります」と述べています。通常の状況下でのスキャンであっても、十分に訓練されたチームにとっては潜在的な弱点を生み出す可能性があること、また、自動化がすでに実装されている場合は冗長な作業になることを覚えておくことが重要です。

クラウド通信会社のチームは、この自動化技術をさらに一歩進めました。彼らは、ツールの API を利用して会社のメインブランチの変更とプルリクエストを監視する GitHub アプリを開発しました。プル リクエストがマージされると、スキャンのためにプロジェクトが自動的にインポートされます。また、アイテムが作成、削除、または名前変更されたときにも反応し、適切なセキュリティ対策をトリガーします。同社は現在、このツールをオープンソース化し、他社もその革新的技術の恩恵を受けられるようにしている。

あるオンライン旅行代理店は、自社のシステムにセキュリティ上の脆弱性があるのではないかと懸念していました。同社は、前述のような急速かつ大規模な成長を経験しており、自動化技術の導入が必要でした。 「当社が運営する規模では、コードと構成を手動で確認するのは悪夢です」と、同社のソフトウェア エンジニアの 1 人は指摘しています。同社は、開発者とマネージャーが API 呼び出しを通じて情報を収集し、プロジェクト全体のセキュリティに必要な可視性を提供できるように、独自のダッシュボード アプリケーションを構築することを決定しました。

パイプライン プロセスに関する支援の必要性から、ある米国メディア企業は、Cloudtrail 経由で新しいコンテナ イメージを検出し、脆弱性をスキャンし、セキュリティ ツールの API を使用して結果を取得してその情報を処理し、関連するチームと開発者向けに Jira チケットを作成する独自の社内アプリケーションを作成しました。同社のプラットフォームエンジニアリング担当ディレクターは、同社では数千のコンテナイメージと最大7,000のコードリポジトリを処理できると述べた。ワークフローを可能な限り自動化することによってのみ、リスクが一貫して特定され、軽減されていることを確信できます。

継続的な自動化

企業が自動化を進めていく中で、最良の結果を達成するには複数の要素を考慮する必要があります。まず、これはセキュリティ ツールの全体的な選択に影響を与える可能性があり、自動化ツールの適応性を高めることが求められるでしょう。強力で十分に文書化された API の可用性は、意思決定を行う際に常に優先されるわけではなく、むしろ企業のニーズを完全に満たすセキュリティ自動化ツールを作成することが優先されるようです。その他の企業(通常は小規模な企業)にとっては、選択したプログラミング言語にネイティブな SDK が利用できることが絶対に必要になります。

メディア企業が独自の社内アプリケーションを開発していたとき、同社のプラットフォーム エンジニアリング ディレクターが強調した 2 番目の重要なポイントは、自動化の結果を慎重に検討することでした。 1 回のスキャンで数千の脆弱性が検出される可能性がある場合、すべての脆弱性を解決するためにチケットを発行するだけでは、低レベルのジョブのログがすぐに詰まり、開発チームに負担がかかります。代わりに、システムは修正不可能または悪用不可能な脆弱性を除外し、アプリケーションのセキュリティに与える影響の程度に基づいてタスクに優先順位を付けます。このシステムでは、パッチの可用性に関するアドバイスや脆弱性の性質を説明するドキュメントへのリンクが提供されるため、開発者がトラブル チケットを処理しやすくなります。

自動化プロジェクトに関する最後のポイントは、作業をできるだけ簡単にすることが目標であることを常に覚えておくことです。新しいプロセス、新しいツール、または異なるアプローチを作成することが必要なステップになる場合があります。可能であれば、IDE、リポジトリ、チケット システムなど、開発者が日常的に使用するツールを使用するようにしてください。自動化によって問題を増やすことなくセキュリティが実現できれば、それが企業が目指すべき理想的な組み合わせです。

<<:  中間レビュー: 2021 年に注目を集めるエッジ コンピューティング スタートアップ 10 社

>>:  DAMOアカデミーと国家気象センターは共同でAIアルゴリズムを開発し、広東省の多くの場所での激しい対流気象の予測を支援することに成功した。

推薦する

AWS クラウドへの移行: 考慮すべき事項

ある日、AWS/GCP/Azure/その他のクラウドプロバイダーに移行するように言われたらどうします...

国慶節休暇中の地元のウェディング写真ウェブサイトのプロモーション戦略について話す

明日は10月1日です。国慶節の連休中に結婚する人が多いため、この時期はウェディングフォトショップにと...

旧正月期間中のウェブサイトの維持管理方法についての簡単な説明

序文: 2011 年末から、検索エンジンは明らかにウェブサイトのユーザー エクスペリエンスへの注目を...

Three Squirrels の WeChat 実験の秘密を明かす: 公開アカウントで下品な発言を避ける方法

【編集部注】ソーシャルマーケティングに長けたスナックブランド「Three Squirrels」も、W...

Weiboマーケティングの深い理解

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス新しいメディアの急速な発...

データ保護サービス(DPaaS)がビジネスを保護する仕組み

[51CTO.com クイック翻訳] 現在、あらゆる企業がさまざまな形で日々のデータを処理し、活用し...

あなたのチャネルはもはや信頼できない、完全なネットワークマーケティングが鍵です

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています最近、娃哈...

UCloudのYe Lideng氏との独占インタビュー:クラウドコンピューティングは人工知能のインフラになる

クラウドコンピューティングの分野に深く関わる革新的企業として、UCloudは今年初めに3in1開発戦...

おすすめ: dotster - 無制限のウェブサイトホスティングが 25% オフ / 控えめな贅沢と意味合い

dotster、このアメリカの古いコンソールブランドは、すべてのコンソールの25%オフプロモーション...

初心者ウェブマスターの3ヶ月目の最適化体験

1 か月前、私は A5 Webmaster Network に「初心者 Web マスターによる新規サ...

最近の百度Kステーション事件のジレンマにウェブマスターがどのように対処すべきかについての簡単な議論

6月28日の事件は再びエスカレートし、7月18日に事件が勃発した。ウェブマスターの忍耐は限界に達して...

クラウドコンピューティング事業の商業化により、Mobvistaは新しいインフラストラクチャの「高速列車」に乗りました

この流行はさまざまな産業の発展を加速させました。ますます多くの企業が、従来のビジネスモデルを打破し、...

ソフト記事を書くときに注意すべき3つのポイント

ウェブサイトの最適化を行う際には、自分のウェブサイトに記事を掲載する場合でも、他のウェブサイトに送信...

m247: 安価なサーバー、大きな帯域幅と大きなトラフィック、ビデオ/ダウンロード/CDN などに適しています。

M247はM24Sevenグループに所属し、2000年に営業を開始しました。m247は200人以上の...

クイックパケット - $30/E3110/4G メモリ/250g ハードディスク/20T トラフィック/G ポート

50 ドル前後の安価なサーバーは数多くありますが、30 ドル未満で信頼できる選択肢は多くありません。...