クラウド ワークロード保護

Prisma® Cloudなら、アプリケーション ライフサイクルすべてにわたってホスト、コンテナ、サーバレス アプリケーションを保護できます。
Cloud Workload Protection Platform Hero Front Image
Cloud Workload Protection Platform Hero Back Image

クラウド ネイティブ アプリケーションは、VM、ホスト、コンテナ、Kubernetes®、そしてサーバレス アーキテクチャへと、ますます分散化されています。それぞれが固有のセキュリティ要件を持つため、一貫したワークロードの保護は容易ではありません。

クラウドネイティブ セキュリティの仕組み

ハイブリッドおよびマルチクラウドの環境にわたるホスト、コンテナ、サーバレスの保護

Prisma Cloudは包括的なクラウド ワークロード保護ソリューションであり、柔軟な保護機能によってVM、コンテナ、Kubernetesアプリ、サーバレス機能、コンテナ化サービス(Fargateタスクなど)のセキュリティを確保します。Prisma Cloudがあれば、DevOpsチームやクラウド インフラストラクチャ チームはリリース サイクルに合わせたセキュリティ確保や多様なテクノロジ スタックの保護を心配することなく自社のニーズを満たすアーキテクチャを採用できます。
  • パブリック クラウドとプライベート クラウドのサポート
  • 柔軟なエージェントレス スキャンとエージェントベース保護の両立
  • アプリケーション ライフサイクル全体にセキュリティを統合
  • 脆弱性管理
    脆弱性管理
  • コンプライアンス
    コンプライアンス
  • CI/CDのセキュリティ
    CI/CDのセキュリティ
  • ランタイム保護
    ランタイム保護
  • コンテナ アクセス制御
    コンテナ アクセス制御
  • イメージ分析サンドボックス
    イメージ分析サンドボックス
  • 信頼済みイメージ
    信頼済みイメージ
  • WebアプリとAPIのセキュリティ
    WebアプリとAPIのセキュリティ
  • エージェントレス/エージェントベース セキュリティ
    エージェントレス/エージェントベース セキュリティ

PRISMA CLOUDソリューション

クラウド ワークロード保護に対する弊社のアプローチ

脆弱性管理

クラウドネイティブなアプリケーションを保護するには、アプリケーション ライフサイクル全体を通して脆弱性を包括的に可視化する必要があります。Prisma Cloudは一元的な可視化能力により、パブリック クラウド環境、プライベート クラウド環境、オンプレミス環境におけるあらゆるホスト、コンテナ、サーバレス機能のリアルタイム リスク優先順位付けに貢献します。

  • 単一のUIでリスクを管理

    ホストOS、コンテナ イメージ、サーバレス機能におけるリスクを、インテリジェントなリスク スコアリングで優先順位付けします。

  • 修復ガイダンスに基づいて脆弱性の状態を確認

    あらゆるCVEの詳細と最新のベンダー修正情報を表示し、あらゆるクラウドネイティブ テクノロジをサポートします。

  • 環境全体の脆弱性を警告または防御

    きめ細かいポリシーを設定し、脆弱コンポーネントについて警告したり、脆弱コンポーネントが環境で実行されないようにします。

  • CI/CDパイプラインにセキュリティを統合

    信頼できるイメージ、レジストリ、リポジトリを明示的に定め、コンテナ レジストリを継続的に監視します。

  • データと既存システムを統合

    脆弱性アラートをJIRA®、Slack®、PagerDuty®、Splunk®、Cortex® XSOAR™、ServiceNow®などの一般的なエンドポイントに組み込みます。

脆弱性管理

コンプライアンス

クラウド ネイティブ アプリケーションでは専用の制御機能でコンプライアンス体制を視覚的に把握し、動的で一時的なインフラストラクチャのコンプライアンスを維持する必要があります。Prisma Cloudにより、ホスト、コンテナ、サーバレス機能のコンプライアンス状況をリアルタイムや過去に遡って視覚的に把握します。

  • 単一ソリューションからコンプライアンスを実現

    ホスト、コンテナ、サーバレス機能に加えてKubernetesとIstio®に対応した単一のダッシュボードでコンプライアンス体制を一元監視します。

  • クラウド ネイティブ アプリケーションに対応する400項目以上のカスタマイズ可能なチェックを使用

    PCI DSS、HIPAA、GDPR、NIST SP 800-190などの主要なフレームワークを、事前に作成されたコンプライアンス テンプレートでサポートします。

  • CISベンチマークの利用:

    CISベンチマークに基づいてチェックを導入またはカスタマイズします。AWS®、Docker®、Kubernetes、LinuxのCISベンチマークがサポートされています。

  • イメージの信頼性を確保

    信頼できるイメージを使用して、許可されたソースからのみアプリケーション コンポーネントが生成されるようにします。

  • アプリケーション ライフサイクル全体でコンプライアンスを統合

    アプリケーション ライフサイクル全体にコンプライアンス チェックを追加して、アプリケーションの設定ミスを警告したり、本番環境への影響を防止します。

コンプライアンス

CI/CDのセキュリティ

クラウド ネイティブ アプリケーションを保護するには、導入前にセキュリティに対処し、アプリケーション ライフサイクル全体にセキュリティを組み込む必要があります。脆弱性スキャンおよび強化チェックをCI/CDワークフローに組み込む統合プラットフォームにより、このような取り組みを拡張できます。

  • すべてのアプリケーション コンポーネントをサポート

    Gitリポジトリ、コンテナ イメージ、AMI、サーバレス機能をスキャンできます。

  • DevOpsワークフローと連携

    Jenkins、CircleCI、AWS CodeBuild、Azure DevOps、Google Cloud Buildなどの継続的インテグレーション(CI)ソリューションと連携します。

  • 一元化されたダッシュボードからリスクを優先順位付けする

    構築、導入、および実行における脆弱性情報、コンプライアンス結果、およびベンダー修正情報を表示します。

  • 開発者ツールと一元化ダッシュボードにスキャン結果を表示

    スキャン結果と詳細情報を、ソースと集約ビューの両方で表示します。

  • パイプライン内で構築が進行しないようにセキュリティ ポリシーを適用

    アプリケーション ライフサイクル全体で一元化されたポリシーを使用して、開発パイプラインの進行状況を正確に制御します。

CI/CDのセキュリティ

ランタイム保護

クラウド ネイティブ アプリケーションは動的にスケーリングするため、望ましくないアクティビティや脅威からアプリケーションを保護する最新の自動化されたアプローチが必要です。Prisma Cloudにより、パブリック クラウド、プライベート クラウド、オンプレミスで動作しているホスト、コンテナ、サーバレス アプリケーションが保護されます。

  • 単一エージェントで保護を統合

    単一のソリューションですべてを保護します。Prisma Cloudでは、LinuxおよびWindowsのホスト、コンテナ、Kubernetesに加え、PaaSやサーバレスなどの新たなテクノロジをサポートしています。

  • セキュリティを自動化して不要な手作業を排除

    プロセス、ファイル システム、ネットワーク アクティビティ全体の基本ポリシーを自動化して、全社レベルでセキュリティを実現します。

  • あらゆる監査またはセキュリティ インシデントの詳細なフォレンジックを取得

    優れたタイムライン ビューでフォレンジックの詳細を自動かつ安全に収集し、インシデント レスポンスを可能にします。Prisma Cloudでデータを表示したり、データを他のシステムに送信して詳細な分析ができます。

  • あらゆる環境でのアクティビティを防止

    一元化されたコンソールからランタイム ポリシーをすべて管理し、あらゆる導入に常にセキュリティが組み込まれるようにします。

  • コンテキスト リッチなデータでSOCチームをサポート

    インシデントをMITRE ATT&CKフレームワークに関連付けて、詳細なフォレンジックと豊富なメタデータを使うと、一時的なクラウド ネイティブ ワークロードに対する脅威の特定と追跡がSOCチームで簡単になります。

ランタイム保護

コンテナ アクセス制御

最新のアプリケーションではセキュリティを密接に統合して、アプリケーション スタック全体を保護する必要があります。Prisma Cloudを使用すると、組織はクラウド ネイティブ アーキテクチャに対して最適化されたセキュリティを活用できます。

  • Dockerアクティビティを制御

    Dockerの設定、コンテナ、イメージ、ノード、プラグイン、サービスなどを規定するルールを管理し、希望どおりに環境が動作するようにします。

  • コンテナの機密管理

    CyberArk、HashiCorpなどのシークレット管理ツールと連携して、機密を適切に管理して保護します。

  • Kubernetes監査をキャプチャ

    クラウド ネイティブのテクノロジ スタック専用のセキュリティを導入します。Prisma Cloudは、Kubernetes監査データを取り込み、警告対象のイベントを特定するためのルールを提示します。

  • Open Policy Agentで導入を保護

    Regoポリシー言語でルールを作成し、すべての導入を管理します。

  • 単一ダッシュボードで監査結果を表示

    分析のために、すべての監査アラートとアクティビティを一元的に表示します。

コンテナ アクセス制御

イメージ分析サンドボックス

古く脆弱なパッケージが含まれ外部リポジトリのマルウェアが埋め込まれている可能性があるコンテナ イメージを安全にプルして実行します。また、イメージ分析サンドボックスを利用すると、静的分析では見逃されるようなソフトウェア サプライチェーンの深部に埋もれた疑わしい依存関係を検出しリスクを明らかにできます。

  • コンテナの詳細なランタイム プロファイルを取得

    サンドボックスでコンテナを実行した際に発生するプロセス、ネットワーキング、ファイルシステムのイベントを収集することで、サンドボックス仮想マシン内でイメージを動的にスキャンします。また、収集したイベントをランタイムにおけるコンテナの振る舞いの概要として表示します。

  • イメージのリスク評価

    マルウェア、クリプトマイナー、ポート スキャン、バイナリ改変、Kernelモジュール改変などの疑わしく異常なコンテナの振る舞いをスキャンします。

  • ワークフローに動的分析を組み込み

    CI/CDワークフローにイメージ分析サンドボックスを取り入れることで、コンテナ セキュリティをシフトレフトします。

イメージ分析サンドボックス

信頼済みイメージ

コンテナ イメージはどれも同じではありません。外部リポジトリからのイメージのプルは有用ですが、最も一般的な高リスク シナリオに対して無防備になります。 すなわち、こうしたイメージには古く脆弱なパッケージや埋め込みマルウェアが含まれる可能性があるのです。そこで役に立つのが信頼済みイメージです。これは信頼するレジストリ、リポジトリ、イメージをポリシーで定めるセキュリティ コントロールであり、信頼できないイメージが環境上で起動した場合の対処方針も定義します。

  • 主要コンテナ リスクへの重要な対策を導入

    環境上で実行を許可するイメージを指定します。また、信頼するレジストリ、リポジトリ、イメージも指定します。信頼できないイメージが起動した場合、Prisma Cloudが監査を実施してアラートを行います。任意でコンテナの実行をブロックすることも可能です。

  • 信頼の確立

    基点(レジストリまたはリポジトリ)またはベース レイヤーを基に信頼を確立します。また、ホスト上の全コンテナの出所を監視します。

信頼済みイメージ

柔軟な制御

クラウド ワークロードとクラウド アプリは絶えず進化します。したがって、スタック全体のセキュリティを確保するには統合されたアジャイルな制御が欠かせません。エージェントレス保護とエージェントベース保護を併用する柔軟性によってお客様のニーズを満たせるのはPrisma Cloudだけです。

  • エージェントレス スキャンが可視化を容易に

    予防機能やブロック機能を導入することなく、短時間で可視性を獲得。エージェントレス スキャンを使用すれば、既知のCVEや設定ミスをはじめとするセキュリティ問題のリスクを迅速に分析できます。

  • エージェントベース保護がもたらす詳細な知見

    統合エージェント フレームワークによって多層防御を実現し、クラウド ネイティブ アプリのセキュリティを確保。エージェントベース保護を用いた詳細なフォレンジック分析と予防的ポリシーによって疑わしい活動をブロックして阻止します。

  • 1つのダッシュボードと1つのポリシー エンジンを2つのアプローチが共有

    Prisma Cloudはエージェントレス セキュリティとエージェントベース セキュリティの両方を一元管理で提供できる業界唯一のソリューションです。

柔軟な制御
Prisma Cloud
Prisma Cloud
Prisma® Cloudは業界で最も完全なクラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)です。クラウド ネイティブ テクノロジ スタック全体のインフラ、ワークロード、アプリケーションを対象とした業界で最も広範なセキュリティとコンプライアンスを開発ライフサイクル全体を通して提供します。また、ハイブリッド環境とマルチクラウド環境の両方に対応しています。

クラウド ワークロード保護モジュール

ホスト セキュリティ

パブリック クラウドやプライベート クラウドで仮想マシン(VM)を保護。

コンテナ セキュリティ

Kubernetesをはじめとするコンテナ プラットフォームをパブリック クラウドやプライベート クラウド上で保護。

サーバレス セキュリティ

アプリケーション ライフサイクル全体でサーバレス機能を保護。

WebアプリケーションとAPIのセキュリティ

パブリック クラウドとプライベート クラウドをレイヤー7の脅威やOWASPトップ10の脅威から保護。

主なリソース

クラウド ワークロード保護のドキュメント