DevSecOpsを実現するためのクラウドネイティブセキュリティプラットフォームPrisma Cloudの機能強化

This post is also available in: 简体中文 (簡体中国語) 繁體中文 (繁体中国語)

パロアルトネットワークスは、業界で最も包括的なクラウドネイティブセキュリティプラットフォームである「Prisma Cloud」の最新版を4月下旬より提供開始することを発表します。この新版では、高度なシフトレフト機能とCI / CD  (継続的インティグレーション／継続的デリバリー) ポリシーの中央管理、ホストセキュリティ機能とアーキテクチャの改善により、DevOpsチームとSecOpsチーム向けの可視性とセキュリティの機能を強化しました。

Prisma Cloudの主な新機能：

• Infrastructure as Code (IaC) スキャン：安全ではないIoCテンプレートをカスタマイズ可能なポリシーでスキャン
• CI/CDポリシーの一元管理：Prisma Cloudダッシュボードから直接、CI / CDのワークフローを管理するためのポリシーを設定
• Amazon Machine Image（AMI）のスキャン：デプロイ前にAMIに含まれるリスクをスキャン
• AWS Lambdaの自動サーバーレス保護：AWS Lambda関数をコンソールからワンクリックで保護

これら新機能により、あらゆるクラウドやスタック向けに開発ライフサイクル全体にわたるクラウドセキュリティを実装し、最終的には「セキュアなビジネスイノベーション、拡張性、成長を推進するDevSecOps手法の実践」のために、分断されたセキュリティ運用チームとDevOpsのチームを統合することができます。

クラウドネイティブ採用によるセキュリティの課題

開発者主導の組織では、ソフトウェアの潜在能力と競合優位性の双方への投資に注力し、これまでにないスピードと俊敏性で開発を進めています。

企業はソフトウェア開発のライフサイクルの近代化を継続し、DevOpsやコンテナ、クラウドネイティブなアーキテクチャなど最新のツールやプロセスを採用しています。絶えず増加する多様なクラウド環境とともに採用は進んでおり、結果として本番環境とアプリケーションライフサイクルの全体にわたって保護すべき対象が倍増していくことになります。

組織がクラウドインフラ構築の自動化を進める際、新たなIaC (Infrastructure as code) テンプレートを利用しています。適切なセキュリティツールとプロセスを利用しなければ、これらのインフラの構成要素はさまざまな脆弱性をはらんだまま作成されてしまいます。パロアルトネットワークスの脅威インテリジェンスチーム Unit 42による「クラウド脅威レポート 2020年春」では、世界中の組織で使用されている脆弱性を含んだ約200,000のIaCテンプレートを発見しました。これらの脆弱性は重大なセキュリティリスクを引き起こします。

アプリケーション、データ、インフラの全てにわたり一貫して管理できないセキュリティ対策が混在していると、可視性と保護の両面で足並みが乱れ、本来の効果を得られません。問題をさらに複雑にしているのは、仮想マシン上でさらに各要素の仮想化が進んでいることで、セキュリティはセキュリティチームに限ったものではなくなっていることです。

意志があれば（統合されたCNSPがあれば）道は開ける

クラウドネイティブインフラとそれに伴うセキュリティの課題が増加したことは、Prisma Cloudの登場と、パロアルトネットワークスが統合クラウドネイティブセキュリティプラットフォーム (CNSP) とはどういう意味かを定義するきっかけになりました。組織はクラウドセキュリティポスチャ管理 (CSPM) ソリューションとクラウドワークロード保護プラットフォーム (CWPP) 双方の実装を望んでいます。昨年末のPrisma Cloudの新版リリースによって、CSPMとCWPPの統合が行われ、業界初のCNSP (クラウドネイティブセキュリティプラットフォーム) として、新たなクラウドセキュリティの実装手段を開拓しました。

セキュリティチームはクラウド構成を継続的に監視すると同時に、インフラ上で実行される仮想マシン（VM）、コンテナ、サーバーレスなど一連のワークロードを保護する必要があります。開発ライフサイクル全体およびスタック全体で、セキュリティ対応範囲を拡大する上で、Prisma Cloudのような統合プラットフォームが役立ちます。

今回の新版リリースに伴う主な新機能

セキュリティをシフトレフト

• IaCスキャン：カスタマイズ可能なポリシーを使用してIaCテンプレートに含まれる問題をスキャンする機能です。クラウドネイティブなアプリケーションやワークロードの安全性を確保しながら、より迅速にイノベーションを市場に届けられるようになります。IDE (IntelliJ、VSCode) 、SCM (GitHub)、CI / CD (AWS CodePipeline、Azure DevOps、CircleCI、GitLab、Jenkins) などさまざまな環境で弊社が提供するシフトレフトプラグインが利用でき、多様な顧客環境およびニーズに対応します。GitLabやBitBucketなどの追加プラグインが近日リリースされます。
• CI / CDポリシーの一元管理： CI/CDワークフローを管理するために、Prisma Cloudダッシュボードから直接、脆弱性とコンプライアンスの検査で使用するポリシーを設定できるようになりました。ダッシュボード内でIaCポリシーの表示や作成も行えます。定義済みのIaCポリシーは、AWS、Azure、GCPのCIS (Center for Internet Security) 標準に準拠しています。これらの機能拡張は、クラウドネイティブセキュリティのさらなる簡素化とクラウドリスク管理の一元化に役立ちます。

仮想マシン向けセキュリティ

• Amazon Machine Image（AMI）スキャン：自社で使用するイメージに脆弱性が含まれているか、コンプライアンスの基準を満たしているかを調査し、信頼できる配信元からデプロイされていることを確認するために、脆弱性管理機能に、コンテナレジストリやサーバーレスリポジトリをスキャンするのと同様の手法でAMIをスキャンする機能を追加しました。これにより、DevOpsとセキュリティ運用チームは、デプロイ前にAMIのセキュリティリスクを可視化できます。

サーバーレスセキュリティ

• AWS Lambdaの自動サーバーレス保護：11月のPureSec統合による拡張サーバーレスセキュリティ機能に続き、コンソールから直接ワンクリックでAWS Lambda関数の自動保護が可能になりました。これによりサーバーレスアプリケーションの保護がより容易に、より迅速になり、開発者が手動でコードにラッパーをインストールする必要がなくなります。脆弱性管理、ランタイム防御、サーバーレス型クラウドネイティブアプリケーションファイアウォール (CNAF) など、すべての既存サーバーレスセキュリティ機能が自動保護できます。

これらの新機能は、日本市場を含めた世界中で、2020年4月下旬までに一般提供される予定です。