クラウド・次世代ゲートウェイセキュリティ
CWPPとは
クラウドシフトが進み、IaaS、PaaS、コンテナ、サーバレス等の多様なサービスの導入が広がっています。従来のオンプレミスと比較すると、サーバ等を自社で管理する必要がないため、運用負荷を軽減できるというメリットがあります。
一方で、クラウドサービスの利用と共に、情報漏えいの事故も発生しています。そこで、セキュリティ対策も非常に重要となりますが、アーキテクチャーの違いにより、従来型のサーバセキュリティとは異なる対策が必要です。
今回はその中でも、Cloud Workload Protection Platform (以下、CWPP)と呼ばれるワークロード向けのソリューションについてご紹介します。
ワークロードとは
コンテナやサーバレスのような技術が登場し、様々なワークロードが利用されるようになりました。代表的な3つのワークロードを例に説明します。
VM(仮想マシン)
AmazonのAWSやGoogle社のCGPインスタンスに代表される仮想マシン。マシン単位でOSを提供し、OS、アプリケーション、データが分離されていない形で運用される形態。
コンテナ
Dockerに代表されるコンテナ型仮想化と呼ばれる技術により実装され、OSの上にコンテナと呼ばれる仮想的なユーザ空間を提供。仮想マシンとは異なり、1つのOSの上で複数の仮想的なユーザ空間を提供できる。
仮想マシンでは、ユーザ空間ごとにOSを用意する必要があるが、コンテナでは1つのOSを用意するだけで複数のユーザ空間を提供できる。
CaaS(Container as a Service)というパブリッククラウドプロバイダーによってコンテナをサービスとして提供するケースや、オンデマンドコンテナと呼ばれるCaaSの基盤となるホストOSやVMの知識や設定を必要としないサービスも存在する。
サーバレス
VMやホストOS等が一切不要、開発者がアプリのコードを作成するだけで利用可能なサービス形態。代表的なサービスとして、Amazon LambdaやAzure Functions等がある。
CWPPが提供する機能
上記のように多様なワークロードに対して一元的なセキュリティ対策が必要となるため、CWPPでは以下のような機能を提供します。
- 脆弱性対策
- ランタイム保護
- コンプライアンス準拠
- ライフサイクルへのセキュリティ適用
CWPPの導入形態
CWPPには、大きく分けて2つの導入方式があります。
|
エージェントの インストール要否 |
メリット |
デメリット |
|
| ①エージェント型 | 必要 | ワークロードの詳細な情報を収集できる | 監視対象の全てのワークロードにエージェントをインストールする必要がある |
| ②エージェントレス型 | 不要 | 導入が容易(CWPPの管理コンソールからAPIを使用) | 収集する情報が少ない |
