Prisma Cloudを使用したRed Hat OpenShiftの保護

This post is also available in: English (英語)

パロアルトネットワークスは、Red Hat® OpenShift® Ready Partnerの1社として、政府・ヘルスケア・金融サービス・インテリジェンスコミュニティ全体で組織がOpenShift上のクラウドネイティブ環境を保護するための支援をいたします。

Red Hat OpenShiftは、ハイブリッドクラウドやマルチクラウドのデプロイメント管理が可能な、フルスタックの自動運用機能を備えたエンタープライズ向けKubernetesコンテナプラットフォームです。OpenShift Container Platform は、オンプレミス環境とクラウド・インフラストラクチャを横断して使用できるため、ハイブリッド型のアプローチをとることで、アプリケーションをセルフマネージド型ソリューションとしてデプロイすることが可能となります。

Red Hat OpenShiftには人気クラウドプロバイダ向けに特定バージョンの複数の提供形態が用意されています。OpenShift Dedicatedは、Amazon Web Services(AWS)およびGoogle Cloud上のRed Hat OpenShiftのフルマネージド型サービスです。Microsoft Azure上のMicrosoft Azure OpenShift 4もフルマネージド型の提供形態でご利用になれます。これにより運用の煩雑さを軽減し、ユーザーは組織にさらなる価値をもたらすアプリケーションの構築やスケーリングに集中できます。

Red HatOpenShiftサービスの提供内容この図には、Red Hat OpenShift Dedicated、Red Hat for Microsoft Azure、Red Hat for IBMなどのホステッドサービスが含まれます。この図には、Red Hat OpenShift Container Platformなどのセルフマネージド型の管理サービスが含まれます。レジストリサービスにはRed Hat Quay Container Registryが含まれ、オペレーティングシステムにはRed Hat Enterprise Linux(RHEL)、Red Hat Enterprise Linux CoreOS(RHCOS)、およびRed Hat Universal Base Image(UBI)が含まれます。
Red HatOpenShiftサービスの提供内容

Prisma CloudはRed Hat OpenShift環境で構築・デプロイを行う組織向けにセキュリティ保護を提供する業界で最も包括的なクラウドネイティブセキュリティプラットフォーム(CNSP)です。Prisma CloudはSaaSコンソール経由でのご利用のほか、完全にエアギャップされた環境のサポートを含めた、ネイティブなOpenShiftアプリケーションとしてのご利用も可能です。

Red Hatとの強力なパートナーシップ

Red Hatとパロアルトネットワークスのつながりは2019年7月にパロアルトネットワークスがTwistlockを買収したときにまでさかのぼります。Twistlockは現在は完全にPrisma Cloudに統合され、この製品の一部となっています。TwistlockはOpenShiftの一部としてDocker認証プラグインにオープンソースとして貢献し、製品開発でOpenShiftを使用する多くのお客様をサポートしてきました。

Prisma Cloudによるコンピュート向けセキュリティ機能には以下が含まれます。

脆弱性の検出と防止

CI/CDプロセス全体をカバーするアラートやエンフォースポリシーにより、脆弱性のあるイメージを特定してそれらが環境内にデプロイされないようにします。Prisma CloudではRed Hatに特化した脆弱性データを使用し非常に精確でレイヤを意識した脆弱性分析を行うことができます。

コンプライアンス管理

ユーザーは、Docker、Kubernetes、Linux環境で、CISベンチマークや外部コンプライアンス基準、カスタム要件に対するコンプライアンスを容易に監視することができます。

高度な脅威インテリジェンス

社内の脅威インテリジェンスラボを含め、30以上のソースから集約した脆弱性情報が使用されています。これらのソースには、Red Hat OVALフィードから直接取得して組み込みとして含まれるRed Hat CVEや、一般的なOpenShiftワークロード用にカスタムで開発・検証を行っているseccompポリシーなどが含まれます。

ランタイム保護

OpenShift内のすべてのポッドにデプロイされたすべてのイメージのランタイムモデルを自動作成し、アノマリ探索やブレイクアウト・攻撃の自動阻止を行う機械学習を使用してOpenShift環境を大規模に保護します。

クラウドネイティブなファイアウォール

ポッド間通信やサービス間通信をホワイトリストに登録することにより、アプリケーションを視覚化し、あらゆるレイヤー4ネットワーク攻撃から保護します。レイヤー7のWebアプリケーションファイアウォールを使用し、アプリケーションへの脅威を自動的に検出して防止します。

アクセス制御

IDおよびアクセス管理(IAM)やシークレット管理ツールなどのコアテクノロジーと統合し、OpenShiftクラスタ、Docker、Kubernetesのためのアクセス制御手段を確立・監視します。

オープンコンテナ標準のサポート

runCやcontainerdなどのオープンコンテナ標準をサポートし、Docker、cri-o、cri-containerdなどのランタイムと動作します。

新しいRed Hat認定Prisma Cloud Operator

Red Hatは、更新されたPrisma Cloudのオペレーターを認定しました。これにより、Red HatのカタログオープンソースKubernetesのオペレーターハブでPrisma Cloudのオペレーターの利用が可能になりました。

お使いのOpenShift Container Platformポータルから、オペレーターを使用してPrisma Cloudを簡単にクリックしてデプロイすることができます。OpenShiftクラスタ上でオペレーターとコンソールをインストールする方法についてはドキュメントを参照してください。


OpenShiftバージョン4.xのサポート

Prisma Cloudは最新リリースでOpenShiftのバージョン4.2、4.3、4.4、4.5をサポートしています。 

Azure Red Hat OpenShiftによるPrisma Cloudのホワイトリスト登録

Azure Red Hat OpenShift(ARO)は、ユーザーが特権コンテナを実行できないようにしているマネージド型OpenShift環境です。しかしながら、監視用/セキュリティ用ツールの場合、対象のコンテナやポッドは、詳細な監視・セキュリティポリシー実施をサポートする権限で実行されている必要があります。

Prisma Cloudはクラウドネイティブスタックの一部
Prisma Cloudはクラウドネイティブスタックの一部

そこでRed HatとMicrosoftは、Prisma Cloudをホワイトリストに登録しています。これによりユーザーがAROクラスタでも保護機能を実行できるようになり、コンテナのデプロイを保護することができます。詳細はAzureのドキュメントを参照してください。

Prisma CloudでOpenShiftをはじめましょう

Prisma CloudはRed Hat OpenShiftプラットフォーム全体でコンテナ化アプリケーションを安全に構築・デプロイする方法を提供します。Prisma Cloudについて詳しくは製品情報ページを参照してください。

Palo Alto Networks Forum vol.6 Virtual でご紹介します

パロアルトネットワークスは、レッドハット様およびマクニカソリューションズ様のご協力のもと、3/17(水)に開催する「Palo Alto Networks Forum vol.6 Virtual: DevSecOpsの実現に向けたクラウドネイティブアプリケーション運用環境のセキュリティ対策を学ぶ!」を開催いたします。
当イベントでは、OpenShiftのようなコンテナプラットフォームを本格的に運用し始める企業が増えていく中で、Prisma Cloudがどのような役割を果たすのか、詳細に触れていきます。
弊社日本担当最高セキュリティ責任者(Field CSO)の林薫も登壇し、「コンテナ・CaaSの脅威とその対策」についてお話します。
【概要】