この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。
皆様、
こんにちは。章でございます。
この度、CWPPのことを少し勉強しました。理論まとめ、ハンズオン事例を作成し、共有させていただきます。
©zhangzy
CWPPとは
CWPP(Cloud Workload Protection Platforms)は、コンピューターマシン(主に仮想)を保護することを目的としたコンピューターセキュリティソフトウェアのクラスです。通常はエージェントベースで、保護対象のマシン内で永続的に実行され、セキュリティ関連のデータとイベントを収集して、クラウドベースのサービスに送信します。
クラウドベースのサービスは、監視下にあるすべてのマシンを監視し、アラートを取得して、対応する潜在的なセキュリティ脅威についてユーザーに通知します。
ガートナーは、現在CWPPベンダーベースのソリューションのリストを管理しています。
CWPP課題由来
パブリッククラウドとプライベートクラウドの仮想マシン、コンテナ、サーバーレスワークロードなど、クラウドネイティブのセキュリティ保護の必要性が高まり続ける中、セキュリティマネージャは、ハイブリッドクラウドワークロード環境に固有のセキュリティダイナミクスに対処する必要があります。
- 企業はサーバーワークロード保護としてEndpoint Protection Platform(EPP)を使用していますが、EPPの機能は、リスクのあるエンドユーザー施設(デスクトップ、ラップトップなど)を保護するためにのみ使用されます。
- ほとんどの企業は、複数のパブリッククラウドインフラストラクチャサービスを使用しています。
- 現在、ほとんどの企業がコンテナベースのサービスを使用しており、PaaSプラットフォームサービスを試しています。
- クラウドリモートセキュリティアプリケーションの場合、ワークロードセキュリティは開発プロセスで事前にエンコードする必要があります。
- 現在、ますます多くのコンテナおよびサーバーレスワークロードが脆弱性についてスキャンされていますが、ワークロードが保護または実行時に保護されることはめったになく、代わりに外部ネットワークの検出とイベントの監視に依存して脅威を検出しています。
- 誤って構成されたクラウドワークロードによるリスクは、ワークロードのトレードオフによるリスクよりも高くなります。
CWPP基本要領
CWPPに対して、アーキテクト・ベンダーは基本に守ることがあります。
- アーキテクトは、場所、サイズ、またはアーキテクチャに関係なく、すべてのワークロードに対する一貫した可視性と制御に責任があります。
- CWPPベンダーは、サーバーレス向けのソリューションを計画することでコンテナーをサポートする必要があります。従来のベンダーがコンテナの要件を満たしていない場合は、解決策を提案する必要性があります。
- ワークロードのスキャンとコンプライアンスの取り組みを開発(DevSecOps)、特にコンテナベースとサーバーレス機能、PaaSベースの開発と展開に拡張すること必要性があります。CWPP製品がAPI公開には必要です。
- 実行時に、ウイルス対策中心の戦略を、検出モードでのみ使用されている場合でも、ワークロード保護への「ゼロトラスト実行」/デフォルトの拒否アプローチに置き換え重要です。
- アーキテクトは、ランタイムエージェントを使用できない、または意味がなくなったCWPPシナリオ注意すべき。
- CWPPベンダーは、リスクのある構成を特定するための統合クラウドセキュリティポスチャ管理(CSPM)機能を提供する必要があります。
CWPP基本条件
CWPP安全守るため、以下の通り基本条件があります。
- 誰でも(攻撃者または管理者)、物理的または論理的にワークロードにアクセスすることはできません。
- ワークロードイメージには、機能に必要なコードのみが含まれている必要があり、サーバーイメージはブラウザーと電子メールで使用される必要があります。
- サーバーワークロードへの変更は、厳密な管理プロセスと監査メカニズム、および必須の認証とアクセス権管理(通常はPAM特権アクセス管理製品を使用)を経る必要があります。
- オペレーティングシステムとアプリケーションのログは、企業全体のセキュリティ情報およびイベント管理(SIEM)の取り組みの一環として収集および監視されます。
- 攻撃対象領域への露出を減らすために、ワークロードを最小限に抑え、パッチを適用し、強化する必要があります。
- IDベースのポリシーに基づいてワークロードをセグメント化します。ほとんどの場合、クラウドワークロードが展開されている基盤となるプログラム可能なクラウドインフラストラクチャにタグを付けるなど、組み込みのセグメンテーション機能を使用します。上記の点に基づいて、サーバーワークロード保護ピラミッドの防止、検出、および応答の3つの組み合わせ保護戦略が推奨されます。ただし、ワークロードの使用状況、ワークロードの暴露、および企業のリスク許容度によって、すべてのサーバーワークロードがすべての層の機能を厳密に必要とするわけではありません。
CWPP重要レイヤー
CWPPに関する重要レイヤーは以下の通りあります。
- 強化、構成、および脆弱性の管理
- ネットワークファイアウォール、可視性、マイクロセグメンテーション
- システムの完全性の保証
- アプリケーション制御/ホワイトリスト
- エクスプロイト防止/メモリ保護
- サーバーワークロードEDR、動作監視、脅威の検出/対応
- 脆弱性シールドを備えたホストベースのIPS
- マルウェア対策スキャン