X

A blog about Oracle Technology Network Japan

  • OCI
    May 15, 2020

Trend Microが設計した、新しい開発 プロセスのためのセキュリティ

Guest Author

※本記事は、Gilson Melo (Senior Principal Product Manager)による"How Trend Micro Designs Security for the New Development Process"を翻訳したものです。

2020年4月30日


当社では以前から変わらずオープン・スタンダードを重視し、また幅広く多様なエコシステムをサポートしています。そうした当社にとって、Trend Microが同社のCloud OneのコンポーネントであるContainer Securityのサポート対象をOracle Cloud Infrastructure Container Engine for Kubernetes(OKEと表記)にまで拡大したことは、非常に喜ばしいことです。

本ブログでは、Trend Microで戦略的アライアンスのシニア・ディレクターを務めるManish Patel氏による文章を掲載しています。

コンテナは、アプリケーション開発のスピードと機動力に寄与します。その一時的な対応が可能という特徴からは、オンデマンドのリソース消費と基盤インフラストラクチャの抽象化というメリットを得られます。またコンテナ化したアプリケーションをクラウドへデプロイするうえで、拡張性と信頼性が高く、フル・マネージドのサービスを必要とする場合、Container Engine for Kubernetesを活用することで、クラウド・ネイティブのアプリケーションを高い信頼性にて構築、デプロイ、および管理することができます。

しかしコンテナを採用する場合、コンテナをデプロイする前に、また実行時にも、脆弱性を検出し、インフラストラクチャ・スタック全体を保護できる、包括的なセキュリティ・モデルを導入する必要があります。つまりこの新しい開発モデルでは、「シフトレフト」がいっそう重要になるということです。コンテナを使用した新しいアプリケーションをオンプレミスでデプロイする場合も、クラウドへデプロイする場合も、ソフトウェア開発のライフサイクル(SDLC)全体でセキュリティを考慮する必要があります。

しかし組織は一般的に、一部のアプリケーションをコンテナ化し、一部を物理的インフラストラクチャで仮想化または実行し、また一部を複数のクラウドで実行するという具合に、異種混合環境にあります。たとえばOracle Cloud Infrastructureを使用したり、仮想化されたデータセンターにてLinuxディストリビューションを使用したりといったことです。そうした環境でセキュリティ・ソリューションを個別に導入していると、コストが嵩むだけでなく、それらを管理するためのスキルとリソースも必要になり、また適切に構成・管理できなければ、セキュリティの一貫性も確保できず、脅威にさらされる結果になります。また継続的インテグレーション/継続的デリバリ(CI/CD)、コンテナ、サーバーレスといった最新の開発手法や開発技術においては、DevOpsのスピードを維持しつつ、早期検出と迅速なプロテクションを実現し、さらにクラウド・サービスにてセキュリティのベスト・プラクティスが遂行されているという確証が得られるように、セキュリティ体制を確立する必要があります。

 

Trend Microのソリューション

Trend MicroのCloud Oneは、ソフトウェア開発プロセスの現代化に取り組む組織に適したセキュリティ・サービス・プラットフォームです。この総合的なソリューションには、データセンターやクラウド、コンテナも含め異種混合環境全体に一貫したプロテクションを提供する、統合されたセキュリティ・コンポーネントが複数あります。

Diagram that shows the Cloud One Security Services Platform spanning to protect a variety of cloud environments connected to a data center.

図1:異種混合環境におけるCloud OneのWorkload Security

 

Trend MicroのContainer Securityアーキテチャ

Cloud OneのコンポーネントであるContainer Securityは、Oracle Cloud Infrastructure Registry(OCIR)と組み合わせることで、自動ビルド・パイプラインのコンテナ・イメージとレジストリのスキャンが可能になります。またContainer Securityは開発および運用チーム向けに設計されているため、オープン・ソース・コードの依存関係で発見されるものも含め、マルウェア、シークレットとキー、コンプライアンス違反、脆弱性を早期に、また迅速に検出できます。

Diagram that shows the stages of the development process where Trend Micro security checks for vulnerabilities.

図2:Cloud OneのContainer Securityにて、開発プロセス全体にセキュリティを適用

 

さらにContainer Securityは、パッケージ・マネージャーにてインストールされたアプリや、Trend Microの業界トップクラスのルールー・フィードを使って直接インストールされたアプリにおける脅威の検出にも活用できます。またContainer Securityでは、Snykのオープンソース脆弱性データベースにてさらに左側を充実させることができるため、オープン・ソース・コードの依存関係における脆弱性を早期に発見し、排除することができます。このようにContainer Securityを活用することで、DevOpsチームは、本番対応のアプリケーションを継続的に提供し、ビルド・サイクルに中断を招くことなくビジネス・ニーズに応えることが可能になります。

 

高度なイメージ・スキャン

Trend MicroのContainer Securityでは、スキャンの際、イメージの各レイヤーをアンパックし、コンテンツの詳細なスキャンを実行します。これにより、パッチ・レイヤーとそのイメージにある脆弱なパッケージとを関連付けることで、問題を早期に解決し、誤判定を排除することができます。またContainer Securityでは、Snykの検出機能を使用して、イメージをスキャンし、マルウェアを検出したり、脆弱性を評価したり、シークレット(秘密鍵やパスワードなど)、ポリシーへの準拠、オープン・ソース・コードの脆弱性を確認したりします。

 

継続的なプロテクション

Container Securityでは、最初にイメージが構築されたときにスキャンを実施できます。さらにレジストリでも継続的にスキャンを実施して、本番対応のイメージにおける新たなマルウェアや脆弱性を発見できるようにします。したがって、イメージの安全性を構築段階から確保し、さらに将来的な未知の脅威からも保護することができます。イメージのスキャンは、複数のクラウド環境に対し、単一のContainer Securityデプロイメントから実施できます。

 

APIでの自動プロセス

Container Securityでは、CI/CDパイプラインへの統合のために作成されたAPIの総合的なカタログを使用することで、完全な自動製品機能を提供します。また、アプリケーション・アーキテクトおよび開発者は、ビルド・パイプラインにセキュリティをコードとして組み込んで、コンテナ・イメージとレジストリのスキャンを実施することができます。ソフトウェア・ビルド・パイプラインの早期から効果的なセキュリティを組み込むことで、開発サイクルにて一貫した成果を早期に創出しやすくなり、また手動によるセキュリティ操作やアプリケーションのダウンタイムを削減することも可能になります。

 

コンプライアンス対応のプロテクション

Container Securityにより、セキュリティ・エンジニアは生産性にもCI/CDパイプラインにも影響を与えることなく、コンプライアンス要件を遵守することができます。さらにポリシー遵守のスキャンができるだけでなく、コンプライアンス要件や行政要件に合わせてポリシーをカスタマイズすることも可能です。加えて、レポート作成や監査を容易にする、詳細なログ履歴も提供されます。

Screenshot that shows the Dashboard of the Trend Micro Deep Security Smart Check UI. The Dashboard shows example results of a security scan.

図3:わかりやすいスキャン結果

 

ワールドクラスの脅威フィード

Container Securityでは、Trend Microのプライベート・ソース(Trend Micro Smart Protection Network)およびパブリック・ソースから最新の脅威フィードを取得し、ゼロデイ脅威を検出するための自動および学習アルゴリズムを実装します。

 

Cloud Oneプラットフォームの全体像

Container Securityは、Trend MicroのCloud Oneプラットフォームから提供される1つのコンポーネントにすぎません。このプラットフォームには、他にも次のようなコンポーネントがあります。   

  • Workload Security:ワークロードのランタイム・プロテクション(仮想、物理、クラウド、コンテナ)
  • File Storage Security:クラウド・ファイルおよびオブジェクト・ストレージ・サービスのためのセキュリティ
  • Application Security:サーバレス機能、API、およびアプリケーション向けセキュリティ
  • Network Security:クラウド・ネットワーク・レイヤーのIPSセキュリティ
  • Conformity:クラウド・セキュリティとコンプライアンス体制の管理

 

詳細情報

詳細については、Container Engine for Kubernetesの概要およびTrend MicroのContainer Securityのページを参照してください。Trend MicroのCloud OneのWebサイトでは、ハイブリッド・クラウド・セキュリティのためのすべての機能が紹介されています。Trend MicroのContainer SecurityとContainer Engine for Kubernetesの組み合わせを体験してみたい場合は、Oracle Cloud Infrastructureのアカウントを取得し、Trend MicroのContainer Securityの無償トライアルにお申込みいただければ、すぐにテストを開始できます。

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.