検索

Infrastructure as Code (IaC)セキュリティ

Terraform、CloudFormation、ARM、Kubernetes、およびその他のIaCテンプレートの設定ミスを特定して修正
デモを申し込む
Infrastructure as Code (IaC)セキュリティの正面画面

Infrastructure as Code (IaC)によって、DevOpsプロセスを活用しながら、クラウド インフラストラクチャのバージョン管理、導入、改善を行うことができます。また、クラウド インフラストラクチャの状況をプロアクティブに改善してセキュリティ チームと運用チームの負担を軽減するチャンスでもあります。

クラウド ネイティブ インフラストラクチャは進化している

アジャイル開発を実現するために、企業はInfrastructure as Codeなどの新しいクラウド ネイティブなデザイン パターンおよびクラウド サービスを採用していますが、 これらの新しいテクノロジに対応するクラウド ネイティブ セキュリティがないと、迅速な採用には大きなリスクが伴います。クラウド セキュリティ体制を改善するには、開発者に抵抗を感じさせずにこれらの新しいテクノロジを保護することが不可欠です。

DevOpsの変化の速さ

DevOpsの変化率は月単位ではなく日単位で測定されており、これは自動化を最大限に進めるCI/CDプロセスとツールをアジャイル手法と併用することによって実現しています。しかしこれらのプロセスやツールにセキュリティが実装されていない場合、後れを取り、リリース サイクルが中断されます。動的な環境の場合、これではうまくいきません。

受動的なセキュリティには拡張性がない

ウォーターフォール型のレビュー サイクルではアジャイルワークフローが中断され、開発者はコンテキストの切り替えを迫られます。一方、実行時にのみ問題に対処する方法では、セキュリティ チームの負担が重くなってしまいます。早期フィードバックを使ってソース上で問題に対処することで、開発チームとセキュリティ チーム両方の負担を軽減します。

Infrastructure as Codeセキュリティの自動化

Cortex®Cloudは、開発ライフサイクル全体にわたってIaCテンプレートの設定ミスとシークレットの露出をスキャンし、セキュリティを統合開発環境、継続的インテグレーション ツール、リポジトリ、およびランタイム環境に実装します。Cortex Cloudは自動化によりコードとしてのポリシーを早期に適用し、セキュリティ問題の導入を防ぎ、自動修正を実行します。
  • 継続的なガバナンスによるコードでのポリシー適用
  • DevOpsワークフローとツールへの組み込み
  • プル リクエストによる設定ミスの自動修正
  • コミュニティによるサポート
    コミュニティによるサポート
  • 開発者に優しい統合
    開発者に優しい統合
  • 自動修正
    自動修正
  • 組み込みのガードレール
    組み込みのガードレール
  • コンプライアンス ベンチマーク
    コンプライアンス ベンチマーク
  • シークレット セキュリティ
    シークレット セキュリティ
ソリューション

IaCセキュリティに対する弊社のアプローチ

コミュニティによるサポート

Cortex CloudのIaCセキュリティは、オープン ソース プロジェクトのCheckovを土台に構築されています。Checkovはpolicy-as-codeツールであり、設定ミスをチェックするダウンロード プログラムが多数含まれています。チェック対象は、Terraform、CloudFormation、Kubernetes、Helm、ARMテンプレートなどのIaCテンプレート、およびサーバレス フレームワークです。ユーザーは多数の標準装備ポリシーを活用し、カスタム ルールを追加できます。Cortex Cloudは、簡易化されたユーザー エクスペリエンスとエンタープライズ機能によってCheckovを強化します。

  • ポリシーの設定ミスのチェック

    Checkovは、多数の標準装備ポリシー(CIS、HIPAA、PCIなどのベンチマークおよびコミュニティから得られるチェックに基づきます)と照合して、IaCテンプレートをチェックします。

  • コンテキスト対応ポリシーの活用

    Checkovのポリシーにはグラフベースのチェックが含まれ、インターネットに公開されているリソースは重大度レベルを高くするなど、複雑なポリシーに複数レベルのリソース関係を許可します。

  • 機能および統合の拡張

    Checkovは拡張可能に設計されており、カスタム ポリシーやタグを追加できます。また、継続的な統合などのDevOpsツールに追加できるCLIも用意されています。

  • Cortex Cloudと統合して機能を拡張

    Cortex CloudはCheckovのオープン ソース機能を強化しており、スキャンの履歴、さらなる統合、自動修正、Smart Fixesなどに対応します

コミュニティによるサポート

パイプラインの一部として統合

修復に開発者を巻き込むことが、最も速い修正方法です。Cortex Cloudは、統合開発環境(IDE)、継続的インテグレーション(CI)ツール、バージョン管理システム(VCS)などのDevOpsツールでフィードバックを直接提供します。

  • 開発ライフサイクル全体にわたって迅速なフィードバックを提供

    Cortex CloudはIDE、CIツール、およびVCSと統合して、開発者がすでに使用しているツールでフィードバックとガードレールを提供します。

  • コード レビュー コメントでの修正が可能

    VCSとのネイティブな統合により、識別されたコードのセキュリティ問題に対する新しいプル リクエストごとにコメントが作成され、セキュリティ問題の発見や修正が容易になります。

  • IaCのセキュリティ問題をすべて一元的に表示

    Cortex Cloudは、スキャンされたリポジトリ全体にわたる設定ミスとシークレットの露出をすべて一元的に表示します。また、フィルタリングや検索を使用して、コード ブロックやコード所有者を探索します。

  • DevOpsワークフローへの修復作業の組み込み

    コラボレーション ツールやチケット管理ツールと統合することで、適切なチームに対してチケットとアラートを生成し、DevOpsタスクに修復を追加することができます。

パイプラインの一部として統合されたIaC

コンテキストに対応し実用的なフィードバック

開発者が期限を順守するために急いで作業を進める際、説明なしでポリシー違反を指摘しても、不満がたまるだけです。Cortex Cloudには、多くのポリシーの自動修復機能と、全ポリシー向けのガイドラインが含まれており、設定ミス修正用の詳細情報が提供されます。

  • コンテキストに対応した可視性とポリシー

    Cortex Cloudは、リソースおよび依存関係のポリシー違反を明らかにします。また、ポリシーはコンテキストに基づくことが可能で、たとえば、インターネットからの攻撃にさらされる違反は重大度レベルを高くするなど、優先順位付けに役立てることができます。

  • 実用的なガイダンスの提供

    ポリシー違反を指摘する際には、問題を修復するガイダンスとともに、設定ミスに関する実用的なガイドラインを提供します。

  • コード所有者でクラウドからコードまで遡って追跡し、迅速な修復を実現

    コード修飾子でクラウド リソースをIaCテンプレートに遡って追跡し、問題を迅速に修復する適切なリソースとチームを探索します。

  • GitOpsワークフローの有効化

    クラウドの設定ミスをコードに遡って追跡することで、実行時に識別された問題をコードで修正して、IaCテンプレートの利点である拡張性と監査機能を維持することができます。

コンテキストに対応し実用的なフィードバック

ガードレールの適用

必要な機能を満たすプレッシャーのなか、開発者は最も楽な経路をたどろうとします。同様に、インシデントの発生中、エンジニアはクラウド環境で急いで問題を直接修正し、IaCテンプレートを同期しないままにすることがあります。Infrastructure as Codeを精査する安全なゴールデン パイプラインを作成し、自動化されたガードレールを活用することでGitOpsのベストプラクティスを適用します。

  • 重大な問題がリポジトリに追加されて導入されないようにブロック

    DevOpsワークフローとの統合によりハード フェイルが可能になり、設定ミスのあるコードや露出したシークレットがリポジトリや導入プロセスに混入しないようにブロックできます。

  • ビルドをブロックするカスタム レベルの設定

    リポジトリごとにハード フェイルのポリシー レベルを設定でき、ポリシーごとの除外やリソースごとの抑制を設定が可能です。

  • カスタム ポリシーでのポリシー セットの拡張

    Python、YAMLまたはUIポリシー エディタを使用してカスタム ポリシーを追加し、複数のリソース、グラフベースのポリシーなど、組織固有のポリシーを適用します。

  • カスタム ポリシーでのポリシー セットの拡張

    Python、YAMLまたはUIポリシー エディタを使用してカスタム ポリシーを追加し、複数のリソース、グラフベースのポリシーなど、組織固有のポリシーを適用します。

  • ドリフトの検出および修復

    コード レビューはすべてのスキャンに備わっており、設定ミスのリストと問題対処ガイドライン、およびプル リクエストで識別された問題の自動修正機能が提供されます。

ガードレールの適用およびドリフトの回避

追加のアプリケーション セキュリティ機能

アプリケーション セキュリティ体制管理

リスクが本番環境に到達しないようにブロックし、問題をソースで迅速に修復します。

詳細

ソフトウェア構成分析(SCA)

コンテキストを考慮した非常に正確なオープン ソース セキュリティとライセンス準拠

詳細

ソフトウェア サプライチェーン セキュリティ

CI/CDのパイプラインを強化し、アタック サーフェスを縮小し、アプリケーション開発環境を保護。

詳細

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。

詳細

最新ニュース、イベント情報、脅威アラートを配信