サーバーレス セキュリティ

アプリケーション ライフサイクル全体でサーバレス関数を保護
Serverless Security Hero Front Image
Serverless Security Hero Back Image

サーバーレス関数は、完全に管理されたインフラストラクチャで実行されるイベント駆動型のコード スニペットです。そのため、開発者は純粋にコードに集中することができます。ただし、これらのアプリケーションは依然として攻撃に対して脆弱であるため、専用のセキュリティが必要です。

AWS Lambdaで関数を保護するためのベスト プラクティスをご確認ください。

サーバーレス アプリケーションにはサーバーレス セキュリティがふさわしい

Prisma® Cloud開発の目的は、AWS Lambda、Azure FunctionsおよびGoogle Cloud Functionsにライフサイクル全体におけるサーバーレス セキュリティの実現です。開発中に脆弱性およびコンプライアンス違反を特定し、実行中の関数を悪意のある活動およびWebアプリケーション攻撃やAPI攻撃から保護します。
  • AWS、Azure、Google Cloudでのサーバーレスのサポート
  • アプリケーションのライフサイクル全体の一部としての統合されたセキュリティ
  • サーバーレス環境全体にわたる可視化と保護
  • 脆弱性管理
    脆弱性管理
  • コンプライアンス
    コンプライアンス
  • CI/CDおよびリポジトリ スキャン
    CI/CDおよびリポジトリ スキャン
  • 実行時の可視性
    実行時の可視性
  • ランタイム保護
    ランタイム保護

PRISMA CLOUDソリューション

サーバーレス セキュリティに対する弊社のアプローチ

脆弱性管理

関数の保護は、実行中の導入パッケージで脆弱性の把握と制御から始まります。Prisma Cloudは関数の脆弱性をスキャンし、継続的に監視します。統合されたCIツールとサーバレス リポジトリから始めて、ライフサイクル全体のビューを得るために、実行中は継続します。

  • 複数の関数の間で優先順位の高い脆弱性を特定する

    複数の関数間の公開リスクやリスク スコア、およびリポジトリとランタイムのLambdaレイヤーに基づいて、最も優先順位の高い脆弱性を特定します。

  • 修復のためのガイダンスを活用して、すばやくパッチを適用

    脆弱性の特定には、パッケージ情報や修正ガイダンスが含まれます。

  • リスク レベルを満たさない関数をブロック

    CI統合とランタイム保護を活用して、リスク レベルを満たさない脆弱性のある関数の導入とビルドを防ぎます。

  • リポジトリの状況を継続的に評価

    Prisma Cloudは脆弱性データベースと照合して継続的にリポジトリをスキャンして、関数の脆弱性の最新情報を取得します。

脆弱性管理

関数のコンプライアンス

サーバーレス アプリケーションで、基盤となるインフラストラクチャへのアクセスが提供されないことがあります。しかし、依然として、関数を攻撃の危険にさらす可能性のある設定ミスは存在します。Prisma Cloudは、導入の前後に、関数のZIP内に格納された秘密キーや広範なリソース アクセスなどの設定ミスを特定します。

  • 攻撃対象領域の縮小

    過度に寛容な権限、未使用の権限、およびAPIを特定して是正し、攻撃者が関数を利用する手段を最小限に抑えます。

  • 設定ミスのある関数の導入防止

    サーバーレス アプリケーションで、継続的インテグレーションの構築およびリポジトリに設定ミスがないかスキャンして、設定ミスのある関数をブロックします。

  • チェックの改善

    個別またはグループベースの制御を適用し、コンプライアンス違反時にアラートを生成してブロックします。

  • 本番環境でのコンプライアンス違反の特定

    環境内で実行されている関数のすべてのコンプライアンス違反を集計して表示します。

関数のコンプライアンス

CI/CDおよびリポジトリ スキャン

セキュリティ上の問題をできるだけ早く特定することで、問題に対処する際の摩擦を軽減できます。開発者にDevOpsツールで脆弱性や設定ミスを通知し、修復のためのガイダンスを提供することで、関数を強化および保護します。

  • 一般的なツールとの統合

    CIツールおよびGitリポジトリとの統合による脆弱性およびコンプライアンスのスキャンを利用します。

  • フィードバックとガードレールの提供

    優先順位の高い脆弱性や設定ミスのある関数のビルドと導入を警告してブロックするしきい値を設定します。

  • ビルドされ格納された関数の状況および傾向の表示

    一定期間のすべてのビルドを包括的に表示します。リスク スコアと実際の公開リスクに基づいたリスク優先順位も表示します。

  • 主要なパブリック クラウド リポジトリのサポート

    AWS®、Azure®、Google Cloudでリポジトリに格納されている関数を継続的に監視します。

CI/CDおよびリポジトリ スキャン

実行時の可視性

関数はイベント駆動型であり、トリガー時にのみ起動します。Prisma Cloudは、クラウド環境で実行されている関数を特定して、自動的に保護します。

  • 関数のトリガーと権限を視覚化

    API Gateways、CloudWatch、S3バケットなど、関連するトリガーおよびサービス権限を表示します。

  • サーバーレス関数を自動的に検出および保護

    コンソールまたはAPIから、埋め込みエージェントを関数レイヤーとして自動的に導入します。

  • 最新の脆弱性およびコンプライアンスの公開リスクを表示

    アクティブな関数を継続的にスキャンして、リスクがランク付けされた脆弱性と設定ミスを検出します。

実行時の可視性

ランタイム保護

サーバーレス関数は単一目的のものから完全なWebアプリケーションまで多岐にわたり、寿命は非常に短くなっています。Prisma Cloudは埋め込みエージェントから、ランタイム保護およびWebアプリケーションとAPIのセキュリティでこれらの環境を保護します。

  • 異常なイベントの監視および追跡

    関数のランタイム境界を容易に強化し、異常なイベントや既知の不正なイベントを警告またはブロックします。

  • 許可リストとブロック リストのカスタマイズ

    Prismaのデフォルト設定または関数固有の設定に基づいて、プロセス、ネットワーキング、およびファイル システムのふるまいの許可リストとブロック リストを作成します。

  • サーバーレスWebアプリケーションとAPIのセキュリティの取得

    ランタイム イベントを特定するのと同じエージェントを使用して、Webアプリケーション攻撃とAPI攻撃を防御します。

  • アプリケーション タイプ全体でセキュリティの制御を一元化

    統合プラットフォームを使用して、サーバーレス関数およびコンテナベースのアプリケーションを保護し、さまざまな環境のセキュリティを簡素化します。

ランタイム保護

Prisma Cloud
Prisma Cloud
Prisma Cloudは、マルチクラウドとハイブリッドクラウドのさまざまな環境において、アプリケーション、データ、クラウドネイティブのテクノロジ スタック全体に対する業界で最も幅広いセキュリティとコンプライアンスを、開発ライフサイクルの全期間にわたって提供します。

クラウド ワークロード保護モジュール

ホスト セキュリティ

パブリック クラウドやプライベート クラウドで仮想マシン(VM)を保護

コンテナ セキュリティ

パブリック クラウドやプライベート クラウド上のKubernetesおよびその他のコンテナ プラットフォームを保護

サーバレス セキュリティ

アプリケーション ライフサイクル全体でサーバレス関数を保護

WebアプリケーションとAPIセキュリティ

パブリック クラウドやプライベート クラウドを、レイヤー7およびOWASPトップ10の脅威から保護