検索

Infrastructure as Code (IaC)セキュリティ

Terraform、CloudFormation、ARM、Kubernetes、およびその他のIaCテンプレートの設定ミスを特定して修正
デモのお申込み
Infrastructure as Code (IaC) Security Front

Infrastructure as Code (IaC)によって、DevOpsプロセスを活用しながら、クラウド インフラストラクチャのバージョン管理、導入、改善を行うことができます。また、クラウド インフラストラクチャの状況を予防的に改善してセキュリティ チームと運用チームの負担を軽減するチャンスでもあります。

クラウド ネイティブ インフラストラクチャは進化している

アジャイル開発を実現するために、企業はInfrastructure as Codeなどの新しいクラウド ネイティブなデザイン パターンおよびクラウド サービスを採用していますが、 これらの新しいテクノロジに対応するクラウド ネイティブ セキュリティがないと、迅速な採用には大きなリスクが伴います。クラウド セキュリティ体制を改善するには、開発者に抵抗を感じさせずにこれらの新しいテクノロジを保護することが不可欠です。

DevOpsの変化の速さ

DevOpsの変化率は月単位ではなく日単位で測定されており、これは自動化を最大限に進めるCI/CDプロセスとツールをアジャイル手法と併用することによって実現しています。しかしこれらのプロセスやツールにセキュリティが実装されていない場合、後れを取り、リリース サイクルが中断されます。動的な環境の場合、これではうまくいきません。

受動的なセキュリティには拡張性がない

ウォーターフォール型のレビュー サイクルではアジャイルワークフローが中断され、開発者はコンテキストの切り替えを迫られます。一方、実行時にのみ問題に対処する方法では、セキュリティ チームの負担が重くなってしまいます。早期フィードバックを使ってソース上で問題に対処することで、開発チームとセキュリティ チーム両方の負担を軽減します。

Infrastructure as Codeセキュリティの自動化

オープン ソースのBridgecrew by Cortex® Cloudは、開発ライフサイクル全体にわたってIaCテンプレートの設定ミスをスキャンし、統合開発環境、継続的インテグレーション ツール、リポジトリ、およびランタイム環境にセキュリティを実装します。Bridgecrewは自動化により早期にpolicy-as-codeを適用し、設定ミスの導入を防ぎ、自動修正が実現されます。
  • 継続的なガバナンスによるコードでのポリシー適用
  • DevOpsワークフローとツールへの組み込み
  • プル リクエストによる設定ミスの自動修正
  • コミュニティによるサポート
    コミュニティによるサポート
  • 開発者に優しい統合
    開発者に優しい統合
  • 自動修正
    自動修正
  • 組み込みのガードレール
    組み込みのガードレール
  • ドリフト検出
    ドリフト検出
  • コンプライアンス ベンチマーク
    コンプライアンス ベンチマーク
BRIDGECREW BY CORTEX CLOUDソリューション

IaCセキュリティに対する弊社のアプローチ

コミュニティによるサポート

Bridgecrewは、オープン ソース プロジェクトのCheckovを土台に構築されています。Checkovはpolicy-as-codeツールであり、設定ミスをチェックするダウンロード プログラムが多数含まれています。チェック対象は、Terraform、CloudFormation、Kubernetes、Helm、ARMテンプレートなどのIaCテンプレート、およびサーバレス フレームワークです。ユーザーは多数の標準装備ポリシーを活用し、カスタム ルールを追加できます。Bridgecrewは、簡易化されたユーザー エクスペリエンスとエンタープライズ機能によってCheckovを強化しました。

  • ポリシーの設定ミスのチェック

    Checkovは多数の標準装備ポリシー(CISなどのベンチマークおよびコミュニティから得られるチェックに基づきます)と照合してIaCテンプレートをチェックします。

  • コンテキスト対応ポリシーの活用

    Checkovのポリシーにはグラフベースのチェックが含まれ、インターネットに公開されているリソースは重大度レベルを高くするなど、複雑なポリシーに複数レベルのリソース関係を許可します。

  • 機能および統合の拡張

    Checkovは拡張可能に設計されており、カスタム ポリシーやタグを追加できます。また、継続的な統合などのDevOpsツールに追加できるCLIも用意されています。

  • Bridgecrewと統合して機能を拡張

    BridgecrewはCheckovのオープン ソース機能を強化しており、スキャンの履歴、さらなる統合、自動修正などに対応します。

コミュニティによるサポート

パイプラインの一部として統合されたIaC

修復に開発者を巻き込むことが、最も速い修正方法です。Bridgecrewは、統合開発環境(IDE)、継続的インテグレーション(CI)ツール、バージョン管理システム(VCS)などの一般的なDevOpsで直接フィードバックを提供します。Bridgecrewプラットフォームで、追加の集約およびレポートを利用できます。

  • 開発ライフサイクル全体にわたって迅速なフィードバックを提供

    BridgecrewはIDE、CIツール、およびVCSと統合して、開発者がすでに使用しているツールでフィードバックとガードレールを提供します。

  • コード レビュー コメントでの修正が可能

    VCSとのネイティブな統合により、識別された設定ミスに対する新しいプル リクエストごとにコードのコメントが作成され、設定ミスの発見や修正が容易になります。

  • すべてのコード設定ミスを一箇所で表示

    Bridgecrewは、スキャンされたリポジトリですべての設定ミスを一元的に表示します。また、フィルタリングや検索を使用して、コード ブロックやコード所有者を探索します。

  • DevOpsワークフローへの修復作業の組み込み

    コラボレーション ツールおよびチケット管理ツールとの統合により、チケットとアラートを生成し、DevOpsタスクに修復を追加するための適切なチームに通知できます。

パイプラインの一部として統合されたIaC

コンテキストに対応し実用的なフィードバック

開発者が期限を順守するために急いで作業を進める際、説明なしでポリシー違反を指摘しても、不満がたまるだけです。Bridgecrewには、多くのポリシーの自動修復機能と、全ポリシー向けのガイドラインが含まれており、設定ミス修正用の詳細情報が提供されます。

  • コンテキストに対応した可視性とポリシー

    Bridgecrewは、リソースおよび依存関係のポリシー違反を明らかにします。また、ポリシーはコンテキストに基づくことができます。たとえば、インターネットからの攻撃にさらされる違反は重大度レベルを高くするなど、優先順位付けに役立てることができます。

  • 実用的なガイダンスの提供

    ポリシー違反を指摘する際には、問題を修復するガイダンスとともに、設定ミスに関する実用的なガイドラインを提供します。

  • 修復の迅速化のためにコード所有者でクラウドからコードに遡って追跡

    コード修飾子でクラウド リソースをIaCテンプレートに遡って追跡し、問題を迅速に修復する適切なリソースとチームを探索します。

  • GitOpsワークフローの有効化

    クラウドの設定ミスをコードに遡って追跡することで、実行時に識別された問題をコードで修正して、IaCテンプレートの利点である拡張性と監査機能を維持することができます。

コンテキストに対応し実用的なフィードバック

ガードレールの適用およびドリフトの回避

機能を提供するプレッシャーにさらされて、開発者は最も楽な経路をたどろうとします。同様に、インシデント エンジニアがクラウド環境で直接、急いで問題を修正し、IaCテンプレートを同期しないままにすることがあります。infrastructure as codeを精査する安全なゴールデン パイプラインを作成し、ガードレールを活用してドリフトを検出することで、GitOpsのベスト プラクティスを適用し、コードの設定を維持します。

  • 重大な設定ミスがリポジトリに追加されて導入されるのをブロック

    CIツールとの統合により、設定ミスのあるコードがリポジトリや導入プロセスに混入するのをブロックできるハード フェイルができます。

  • ビルドをブロックするカスタム レベルの設定

    リポジトリごとにハード フェイルのポリシー レベルを設定でき、ポリシーごとの除外やリソースごとの抑制を設定できます。

  • カスタム ポリシーでのポリシー セットの拡張

    Python、YAMLまたはUIポリシー エディタを使用してカスタム ポリシーを追加し、複数のリソース、グラフベースのポリシーなど、組織固有のポリシーを適用します。

  • 導入の失敗に関する実用的な情報を提供

    すべてのスキャンにコード レビューが含まれ、設定ミスのリストと問題対処ガイドライン、およびプル リクエストで識別された問題の自動修正機能が提供されます。

  • ドリフトの検出および修復

    Bridgecrewではランタイム設定とIaCテンプレートを比較して、クラウド環境に直接加えられた変更を識別し、コードと所有者に遡ってクラウド設定を追跡し、コードとクラウドの同期ができます。

ガードレールの適用およびドリフトの回避

追加のアプリケーション セキュリティ機能

アプリケーション セキュリティ体制管理

リスクが本番環境に到達しないようにブロックし、問題をソースで迅速に修復します。

詳細

ソフトウェア構成分析(SCA)

コンテキストを考慮した非常に正確なオープン ソース セキュリティとライセンス準拠

詳細

ソフトウェア サプライチェーン セキュリティ

CI/CDのパイプラインを強化し、アタック サーフェスを縮小し、アプリケーション開発環境を保護。

詳細

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。

詳細

最新ニュース、イベント情報、脅威アラートを配信