可観測性の概要

可観測性 は、取得から構築、デプロイ、実行まで、さまざまな段階を可視化、監視、制御することで、コンテナーのサプライ チェーン全体で役割を果たします。 コンテナー化されたアプリケーションのライフサイクル、それが通過するサプライ チェーンのさまざまな段階、依存するコンポーネント、およびその作成に参加するアクターを理解することは非常に重要です。 企業は、可観測性により、コンテナー サプライ チェーンのセキュリティのギャップを特定し、インシデント対応中に重要な質問に答え、安全でないコンテナーが運用環境にデプロイされるのを防ぐことができます。

Microsoft の Containers Secure Supply Chain (CSSC) フレームワークの重要なコンポーネントとして、 Observability はコンテナー化されたアプリケーションのベスト プラクティスとガイドラインのセットを識別します。 この記事では、コンテナーの安全なサプライ チェーンの監視の背景、目的、目標について説明します。

背景

今日のエンタープライズ環境では、コンテナー化されたアプリケーションは、さまざまなチームによって管理されるさまざまなツールを使用して構築およびデプロイされています。 多くの場合、これらのツールからの監視データはサイロ化され、コンテナー化されたアプリケーションのライフサイクルを追跡するのが困難になります。 このように可視性がないため、サプライ チェーンのセキュリティのギャップを特定し、潜在的なセキュリティの問題を検出することが困難になります。

CSSC フレームワークの Observability コンポーネントでは、コンテナー サプライ チェーンのさまざまな段階から重要なデータをキャプチャするための一連のベスト プラクティスとガイドラインが推奨されています。 このデータを使用して、コンテナー化されたアプリケーションのライフサイクルにおける一般的な手順を確立し、侵害の兆候 (IoC) になる可能性のある異常を検出できます。

推奨される運用

Microsoft では、コンテナー サプライ チェーンのすべての段階で可観測性を実装することをお勧めします。 各段階の可観測性データは、サプライ チェーンの全体像を提供する単一のシステムに統合する必要があります。 人工知能は、さまざまな段階のデータを関連付け、異常の検出とセキュリティ インシデントの防止に使用できるパターンを特定できます。

監視機能は、詳細なレポート機能とアラート機能で強化する必要があります。 レポートは、チームが現在のセキュリティ体制を理解し、改善を加えるのに役立つ一方で、コンプライアンス要件を満たすのに役立ちます。 疑わしい動作に対するタイムリーなアラートにより、セキュリティ インシデントを防ぎ、侵害の影響を軽減できます。

少なくとも、次の可観測性データをキャプチャすることをお勧めします。

• 外部の依存関係のリスクを評価するために使用できる外部コンテナー イメージのソース、バージョン、脆弱性の状態。
• 潜在的な内部脅威を特定できる外部イメージの使用を要求および承認するためのユーザーのアクティビティ。
• 脆弱性とマルウェアスキャンの日付と時刻は、それらが定期的に実行され、古いデータを回避するためにスキャンされます。
• 外部依存関係のリスクを定量化するために、ビルドおよびデプロイ パイプライン内の外部イメージを使用します。
• ビルドが準拠していることを確認するために、ソース コードの場所、ビルド環境、ビルド成果物などのビルドの詳細。
• デプロイ環境、デプロイ成果物、デプロイ構成などのデプロイの詳細を確認して、デプロイが準拠していることを確認します
• ランタイム環境、ランタイム成果物、ランタイム構成、ランタイム動作などのランタイムの詳細により、予期される動作から逸脱しないようにします。

上記の可観測性データは、ファイアウォール ログ、ネットワーク トラフィック、ユーザー アクティビティなどのセキュリティ情報およびイベント管理 (SIEM) システムの他のデータと関連付けて、パターンを検出し、潜在的なセキュリティ インシデントを特定できます。

監視のセキュリティ目標

各段階で可観測性を実装することは、ギャップを特定し、コンテナーのサプライ チェーン内のセキュリティ インシデントを防止するために重要です。 CSSC フレームワークの監視コンポーネントは、次のセキュリティ目標を満たすことを目的としています。

脅威と悪意のある動作を検出する

ソフトウェアサプライチェーンに対する攻撃は、より一般的で洗練されつつあります。 現在の監視ツールは、コンテナーのライフサイクル全体のコンテキストを無視して、単一のサプライ チェーン ステージ内の監視システムに限定されます。 企業は、定期的または手動のチェックに依存する可能性があります。これは、進行中の脅威や急速に進化する攻撃パターンを特定するのにあまり効果的ではありません。

コンテナーのサプライ チェーンにエンドツーエンドの可観測性を実装すると、セキュリティ チームがサプライ チェーンの全体像を把握し、潜在的な脅威や悪意のある行動を特定するのに役立ちます。

コンプライアンスを簡素化する

クラウドネイティブ アプリケーションは、世界規模でデプロイされ、多数の資産で構成されます。 コンテナーがデプロイされる場所、使用されるソース、およびセキュリティ体制が限られているため、コンプライアンス要件を満たすことが困難になります。 また、インベントリが不足しているため、企業は重大な脆弱性の影響をすばやく定量化し、アクションを実行できなくなります。

コンテナーのサプライ チェーンの各段階で監視データをキャプチャすると、企業はコンテナー資産の包括的なインベントリを構築し、リスクをすばやく評価し、コンプライアンス レポートを提供するために使用できる依存関係グラフを作成するのに役立ちます。

インシデント対応の支援

可観測性の欠如は、検出の遅延、可視性の制限、手動ワークロードの増加、および対応策の効率と有効性の低下によって、インシデント対応作業を妨げる可能性があります。 コンテナーのエンド ツー エンドのサプライ チェーンを完全に把握しないと、インシデントレスポンダーに重要な情報が不足している可能性があるため、インシデントの重大度を評価し、効果的な対応戦略を策定することが困難になる可能性があります。

コンテナーのサプライ チェーンのさまざまな段階から監視データを関連付けると、インシデント 対応者がより適切な意思決定を行い、セキュリティ インシデントに迅速に対応するのに役立ちます。

推奨されるツール

Microsoft では、コンテナー サプライ チェーンに可観測性を実装するために使用できる一連のツールとサービスを提供しています。

Azure Container Registry (ACR) の監査ログと診断ログ には、レジストリで実行されたすべての操作の詳細な監査とアクティビティ の証跡が用意されています。 ログとモニカー データは、Azure Monitor の他の可観測性データと分析および関連付けることができます。

Microsoft Defender for DevOps では、Azure DevOps と GitHub を使用して、チームの DevOps セキュリティ体制を統一して可視化できます。 Defender for DevOps は、デプロイの誤った構成の検出、シークレットの公開、GitHub と Azure DevOps のプル要求にセキュリティ情報の注釈を付けるのに役立ちます。

次のステップ

• コンテナーのセキュリティで保護されたサプライ チェーン フレームワークの概要
• 取得ステージの概要
• カタログ ステージの概要
• ビルド ステージの概要
• デプロイ ステージの概要
• 実行ステージの概要