こんにちは


一応、セキュリティ業界にいる人間の端くれなので、

セキュリティについても語っていきたい
と思っている所存です。


さて、
今回はCNAPPという
クラウドセキュリティの概念について
お話ししたいと思います。


CNAPPは
Cloud Native Application Protection Platform
の略です。


つまるところ

クラウドネイティブなアプリケーションを
保護するためのプラットフォームで、


USのGartnerが提唱する
クラウドセキュリティの概念です。


プラットフォームというくらいなので、

保護に必要な複数の機能が
備わったサービスなんです。


では「複数」というのは
どれくらいあるのでしょうか？


CNAPPは3つの柱から成る概念
として提唱されました。

別の記事で触れたCSPMを始めとし、
CSNS、CWPPの3つの柱が主軸となっています。

アルファベットの略称だらけで
いやになってしまいますが、
それぞれ簡単に紹介します。


まずCSPMからいきましょうか。

一言で言うと
CSPMは、

クラウドインフラの設定ミスの
見落としを防ぐ為のサービスです。


クラウド上では、権限さえあれば
いつでも誰でもリソースを立ち上げることができ、

そしてその権限そのものも
簡単に付与する事ができます。


放置すれば多くのユーザによって
知らない間に無数のリソースが
立ち上げられ、


その全てのリソースに
あるべき設定・適切な設定が
適用される保証はありません。


ユーザーの管理も含め、
クラウドインフラのリソースとその設定を
しっかりと監視しないと
管理しようにもしきれないのです。


もっと言えば

際限なくリソースが増減・変化するので、
年に一回チェックするくらいでは
全く足りません。


確実な監視、チェックをし続け、
正しい設定を保持できるようにするのが、
CSPMの役割です。


そして2つ目の柱は
CSNS(Cloud Service Network Security)
です。


クラウド用の仮想ファイアウォール(UTM)や、
WAF(Web Application Firewall)
というアプリケーション層の防御壁
などが挙げられます。


CSPMが人為的な間違い・設定ミスという
内部の脅威の対策をするのに対し、


CSNSは

不正アクセスやマルウェアなどの
外部の脅威の
対策です。


IPS(Intorusion Prevention System
=侵入防止システム)や

アンチウイルス(アンチマルウェア)、
サンドボックスと言ったような
脅威対策機能を含めた
様々なセキュリティ機能を兼ね備えた
通信制御システム・ゲートウェイが

まずはクラウドインフラ全体を
保護する壁となってくれます。



アプリケーション層に特化した
インジェクション攻撃などは

同じくアプリケーション層に
特化した防御壁である
WAFを置いて対策するのが一般的です。



そしてもう一つの柱は

CWPP(Cloud Workload Protection Platform)
です。


クラウドワークロードを保護するための
プラットフォームです。



CNAPPというプラットフォームの中に更に
クラウドワークロード用の
プラットフォームが含まれるので
ややこしいですが、



クラウドワークロードと言っても
様々な要素が存在するので、

それらを包括的に保護するためにはそれだけ多くの
セキュリティ機能を用いて対策する必要があります。



クラウドワークロードというのは、

基本的にはクラウド環境上で動作する
サーバーリソースなどの稼働環境を
差しますが、



サーバ―リソースには
仮想サーバーのインスタンス、コンテナ、サーバレス
など様々な形があります。



コンテナもサーバレスも
コンテナ技術を用いた
いわゆるクラウドネイティブなサービスですが、



それぞれ仮想サーバーと同じ方法で
セキュリティ対策として充分か
というとそうではありません。



クラウドネイティブには、
リソースの最小単位が
小さく軽量という特徴があり、

柔軟性、スピード、拡張性といった
クラウドの利点を最大化することに
成功しています。



一つ一つはとても小さく、
複数のリソースと連携させて使います。


そしてその連携する対象には

外部リソース(Open sourceなど)も含まれます。



そして基本的にコンテナやサーバレスは

連携先として設定されたリソースを
信頼できるリソースであるということを
前提に動作します。



つまり、

その連携先リソースに脆弱性があれば
その脆弱性を持ったシステムに
なってしまいますし、



万が一マルウェアが潜んでいれば

何のためらいもなくシステム内に
引き込んでしまいます。

そしてそんなクラウドネイティブの挙動を
人の目で全て監視するというのは
不可能です。


人間の血液の循環を人の目で
監視しようとしているようなものです。

変な例えですが、
それほどに無謀なチャレンジです。

だからこそそれができる仕組みを使って
コンテナやサーバレスの潜在的なリスクを
自動的に排除していく必要があり、

それを包括的に実現できるのがCWPPです。


CSNSはなんとなく想像しやすいと思いますが、
CWPPについては曖昧な説明に
終わってしまいましたので、
CSPMの後に語っていきたいと思っています。

CNAPP全般についてもまだまだ
語りきれていない部分があるので、
次の章でお話しします。

いかがでしたでしょうか
少しでも皆さんのお役に立てれば幸いです。

またご意見などがありましたら、
是非ご連絡お待ちしています。


最後に、
セキュリティに関する情報をYoutubeでも展開していきたいと思っていますので、
是非流し見ていただければ幸いです。

ではまた