SUSEコンテナ・セキュリティ・プラットフォームでKubernetes攻撃を阻止する方法

Kubernetesとコンテナセキュリティに共通する課題とは？

コンテナとKubernetesの台頭はアプリケーション開発に変革をもたらし、企業はかつてないスピードと俊敏性で最新のアプリケーションをデプロイできるようになりました。しかし、コンテナ化されたインフラストラクチャへの移行は、新たなセキュリティの課題と隣り合わせでもあります。従来のアプリケーションとは異なり、コンテナは攻撃対象領域を拡大します。つまり、このパラダイムシフトを敏感に察知している悪意のある攻撃者の潜在的な侵入口が増えることになります。このような進化する脅威に効果的に対処するために、セキュリティチームは、ランタイム環境内の可視性を高め、セキュリティのベストプラクティスによるコンテナ環境のサプライチェーンセキュリティを確保する包括的なソリューションを必要としています。 さらに、ソフトウェア・サプライ・チェーンを最初からセキュアにするためのツールを開発チームに提供することも極めて重要です。

多くの企業は、クラウド・ネイティブ・セキュリティの専門知識を社内に蓄積することが困難だと感じています。社内のセキュリティチームにとって、脅威の膨大さに圧倒される可能性があるためです。セキュリティのプロフェッショナルであっても、このようなダイナミックな環境のセキュリティ確保に必要な専門知識が不足している可能性があります。必要な専門知識を持つセキュリティ担当者の確保や育成に苦労しているうちに、有資格者が不足し、コンテナ化されたアプリケーションを標的とする高度な攻撃に対して脆弱な状態に陥る可能性があります。多くの組織では、侵害のリスクを最小限に抑えるために、ソリューションだけでなく、適切な構成と組織のリスクプロファイルとの調整を確実に行える専門チームも必要です。

NeuVector Primeとは？

SUSEのコンテナセキュリティプラットフォームであるNeuVector Primeは、コンテナセキュリティをフルライフサイクルで実現するために設計された、業界唯一の100%オープンソースのゼロトラストプラットフォームです。NeuVector Primeは、Kubernetesネイティブのアーキテクチャを活用し、クラスタ層で比類のない可視性と制御を提供することで、攻撃を検知してブロックすることができます。NeuVector Primeは、ディープ・パケット・インスペクション（DPI）、レイヤー7ファイアウォール保護、ゼロトラストセキュリティ、セキュリティポリシーの自動化、データ損失防止（DLP）など、他のコンテナ・セキュリティ・ソリューションにはない機能を提供します。

Image 1: NeuVector Prime Dashboard

NeuVector Prime by SUSEのメリットとは？

Kubernetesネイティブ:

• NeuVector Primeは、エアギャップなど、オンプレミスを問わず、Rancher、Red Hat OpenShift、Tanzu Kuberntes、Amazon EKS、Microsoft AKS、IKS、GKEを使用しているあらゆるKubernetes環境、を保護します。
• Kubernetesプラットフォームとのシームレスな統合により、企業はセキュアなクラウド・ネイティブ・スタックを安全かつシンプルに導入することができます。
• NeuVector Primeはクラスタ内に配置されるため、クラウドサービスプロバイダー（CSP）から分離されます。これにより、環境のコンプライアンスステータスを変更することなく、Kubernetesのセキュリティ体制を即座に改善することができます。(例えば、NeuVector Primeを導入する前にFedRAMPに準拠した環境であった場合、FedRAMPへの準拠は維持されます)。

Infrastructure-as-CodeとSecurity-as-Code機能:

• 多くの企業がハイブリッドクラウドやマルチクラウド環境を採用する中、NeuVector Primeはセキュリティを損なうことなく、クラウドプロバイダーから別のクラウドプロバイダーへ容易に移行することを可能にします。このようなワークロードは、クラウドプロバイダーに依存することなく、セキュリティを維持しやすくなります。
• セキュリティポリシー、アクセス制御、脆弱性スキャンはコードファイル内で定義され、インフラストラクチャ全体で一貫した自動化されたセキュリティ実装を保証します。 これにより、セキュリティ対策がDevOpsのワークフローと整合し、より協調的な「DevSecOps」アプローチが促進さ れます。
• 定義されたコードに基づくセキュリティ・ポリシーの自動展開と実施により、コンテナ環境全体で一貫した再現可能なセキュリティ実装が可能になります。

本番環境の広範な可視化とインビルドの安全性を両立:

• NeuVector Primeのネットワークプロテクション（ファイアウォール）は、他の多くのコンテナセキュリティ製品がレイヤ3やレイヤ4で動作するのに対し、レイヤ7で動作します。レイヤ7の可視性により、企業は内部および外部ネットワークからの攻撃からコンテナを保護することができます。これには、ネットワーク、パケット、ゼロデイ、およびDDoSやDNSのようなアプリケーション攻撃をリアルタイムで識別し、ブロックすることが含まれます。さらに、この可視性により、他のコンテナ・セキュリティ・ソリューションでは不可能な、ネットワークに関する特定のポリシーを作成することができます。
• イノベーションに影響を与えることなく、脆弱性管理とイメージスキャンによってサプライチェーンのセキュリティを確保します。DevOpsチームは、統合されたセキュリティポリシーで新しいアプリをデプロイし、CI/CDパイプライン全体から本番環境まで確実にセキュリティを確保できます。

NeuVectorとNeuVector Primeの違いは？

NeuVectorはオープンソースプロジェクトの名称です。NeuVector Primeは、企業がKubernetes環境のセキュリティを確保するために使用するSUSEの商用製品です。これにより、お客様はSUSEからエンタープライズレベルのサポートを受け、コンサルティングやサービスを追加することができます。

機密データやビジネスクリティカルなワークロードでは、サポートされていないセキュリティソリューションを使用する余裕はありません。NeuVector Primeが提供するのは、ブレーク/フィックスサービスだけではありません。SUSEのサポートチームは、NeuVectorを適切に導入し、攻撃者を検知してブロックできるように広範なセキュリティレイヤーを設定するお手伝いをします。NeuVector Primeのユーザーは、アドバンスドサイジングとプランニングガイド、CVE（Common Vulnerabilities and Exposures）データベース検索サービス、コミュニティ公開前のセキュリティテンプレートとルールへのアクセスが可能です。さらに、NeuVector Primeは、統合されたUIエクステンション、ロールベースのアクセス制御（RBAC）マッピング、および「セキュアなクラウド・ネイティブ・スタック」のシンプルなデプロイを可能にする他の機能を通じて、Rancher Prime（および他のKubernetes管理プラットフォーム）とシームレスに統合されています。

SUSEのNeuVector Primeのお客様は、次のサービスを受けることができます:

1. SLAに裏付けされた製品サポートサービス、NeuVectorが適切に設定されていることを確認するためのRCAとトラブルシューティングによる最大限の保護
2. 脆弱性(CVE)調査のトリアージ支援による脆弱性管理と修復作業の支援
3. 全てのレイヤのセキュリティを支援するためのベストプラクティス、ハードニング支援（セグメンテーション、ネットワークとプロセスのプロファイリング、アドミッションコントロールなど）。
4. ランタイム脅威ルール設定の最適化。 デプロイのプランニングとスケーラビリティのためのアセットおよびサービスへのアクセス（パフォーマンスチューニング、CVEルックアップなど）
5. Rancher ManagerおよびRancherディストリビューション（UI拡張機能など）とのネイティブな統合をサポートし、セキュアなクラウドネイティブスタックを簡単に導入・管理できます。

さらに詳しく

SUSEのコンテナ・セキュリティ・プラットフォームの詳細については、NeuVector Primeに関するウェビナーにご登録ください。