昨年夏の VMware Explore でテクニカルプレビューとして発表した、VMware Aria Guardrails が SaaS ソリューションとしてリリース(初期提供: Initial Availability )されました。
VMware Aria Guardrails は、クラウドおよび Kubernetes に対するエンドツーエンドのポリシー施行を自動化し拡張する、マルチクラウドのガバナンスサービスです。お客様は、クラウドや Kubernetes. にわたって、コストの調整、リスクの低減、性能の最適化に役立つ標準を一貫して設定することができます。クラウド運用チームは、ランディングゾーンポリシーを定義するための手作業を削減し、グラフベースのクラウドインベントリーとの関連づけによりポリシー違反やドリフトを統合的に把握し、修復を自動化することが可能になります。
パブリッククラウドに対する効果的なガバナンスプログラムには、新しいアプリケーションを提供する競争においてアプリケーションチームをサポートし、マルチクラウド環境に広がる膨大な数のクラウドサービスから生じる複雑さを乗り越えながら、運用の安全性、支出の最適化、性能の最適化を確保することが求められます。クラウド運用チームは、コンプライアンスに準拠したクラウドアカウントに対する高い要求をタイムリーに満たす必要があります。しかし、拡大するクラウド環境において企業の標準を実施するには、これだけでは十分ではありません。クラウド運用チームは、アカウントのプロビジョニング後に組織のガバナンス目標を満たす方法で必要なポリシーを確実に実行し続ける責任があります。エラーが発生しやすい手作業のプロセスや異種混在のツールに依存してしまうと、コンプライアンス基準の適用に苦労し、コストの増加やセキュリティリスク、性能問題を引き起こす可能性があります。
VMware Aria Guardrails は、プロビジョニング時に一貫したポリシー構成を提供し、単一のサービス内で、リソース構成の変更に伴うドリフトの継続的な検出と緩和を可能にすることで、ベストプラクティスを実施するクラウドスマートアプローチを採用しています(図1)。
図1:クラウド運用チームは、より迅速で安全なアプリケーションのデリバリーを可能にするコンプライアンスアカウントを提供し、
ポリシー違反の監視と緩和を行い、ベストプラクティスを継続的に実施することができます。
クラウドのガバナンスプログラムを強化する機能
Policy as Code アプローチ:クラウド運用チームが直面する難しい課題のひとつに、複数アカウントに対するポリシーの一貫した適用が挙げられます。VMware Aria Guardrails では、ポリシーのテンプレート(図2)を提供することで、クラウドアカウントに対して繰り返しポリシーを設定することを容易にします。また、既存のクラウドアカウントで定義された設定からテンプレートを生成し、そのアカウントの将来のドリフトを検出するためのベンチマークとして使用することもできます。カスタムテンプレートの作成は、組織固有の要件に対応するのに役立ちます。
この機能により、環境にまたがる複数のアプリケーションチームのための準拠したアカウントの作成を迅速化し、ミスを軽減することができます。Amazon Web Service と Microsoft Azure 用の数十種類のテンプレートが用意されており、コストやセキュリティ、性能、ネットワークに関するポリシーの適用を簡単に開始できます。
構成ドリフトをイベントベースで検出しテンプレートで宣言された状態と比較できるようにすることで、ポリシー違反を確実に検出し簡単に調査することができます。
図2:AWSの IAMポリシーテンプレートの一例
セキュリティ ポスチャー マネジメント:VMware Aria Guardrails は、構成セキュリティのベストプラクティスとコンプライアンスフレームワークをカバーしています。一般にアクセス可能なリソースの監視、データの安全な構成、リソースの監査可能性など、1200以上の事前定義されたポリシーへのアクセスを提供します。SOC2、HIPPA、NIST 800-53、MITRE ATT&CKを含む20の業界フレームワークがあらかじめ組み込まれているため、クラウドと Kubernetes リソースのコンプライアンスを継続的に改善することが可能です。さらに、特定のコーディングスキルを必要とせずにクラウドアセットの関係に起因する特定の構成を検出するカスタムポリシーを構築することができます。Kubernetes とクラウドサービスの関係をスキャンすることで、250以上の高度な検出ルールが、他の方法では見過ごされるかもしれないリスクを特定することができます。
クラウドエンタイトルメント管理: クラウドリソースへのアクセスが簡単かつ迅速に付与される環境では、大規模な権限管理と IAM のベストプラクティスの導入は簡単な作業ではありません。クラウド リソースへのアクセス権を持つ人間やマシンの数が増加しているため企業は、侵害につながる危険なアクセス条件を特定し、監査するためのソリューションを必要としています。VMware Aria Guardrails は、プリンシパル(ユーザーまたはワークロード)、エンタイトルメント、およびリソース間の関係をマッピングすることにより、ユーザーがクラウドリソースにアクセスするための経路を可視化し、ピンポイントで特定できるようにします。また、権限を分類し、プリンシパルのリソースブラスト半径を理解することで、クラウド権限の調査を迅速かつ簡単に行うことができます。
図3:リソースにアクセスするためのパスと有効な権限の詳細の可視化
たとえば、図3では、プリンシパルの AWS.EC2.KeyPair へのアクセスを可能にするロールとポリシーを表示し、プリンシパルが結果として実行できるアクションを理解し、グラフを更新するアクションでビューをフィルタリングすることができます。
ホスト構成とセキュリティ管理: VMware Aria Guardrails は、OSの構成とコンプライアンス管理ソリューションを内蔵しており、すぐに使える幅広いアプリケーション対応コンテンツ、構成変更のイベント駆動型検出、ドリフトが発生した際の自動修復を提供します。また、OS レベルのシステムの脆弱性について環境をスキャンし、CVE (共通脆弱性識別子)とのクロスチェックを行い、ホストのあらゆるセキュリティリスクを軽減することができます。
VMware Aria Hub Powered by Aria Graph: VMware Aria Graph が提供するグラフデータストアを活用することで、ポリシー違反のアラートごとにリソース構成と接続オブジェクトを可視化し、全体的なリスクを把握することができます。VMware Aria Hub は、クラウドアカウントの管理、クラウドインベントリ全体の概要の確立、およびアプリケーショントポロジーの洞察を容易に行う方法を提供します。
VMware Aria Guardrails の優位性
VMware Aria Guardrails は以下の点において、拡大するクラウド環境におけるベストプラクティスをスケールさせることを可能にします:
- クラウド、Kubernetes 、ホストにわたり、ポリシーの適用と業界標準の継続的な実施を大規模に自動化
- 異種ツールからのポリシー違反データを統合し、違反と脅威や脆弱性を関連付けることで、ツールの乱立とそれに起因するデータのサイロ化を解消
- 希望する状態をテンプレートで宣言することで、サードパーティのポリシーエンジンのポリシー実施を拡張
VMware Aria Guardrails を使用すると、俊敏性を損なうことなくクラウドのコスト、セキュリティ、性能を制御することができ、クラウドインフラが提供する柔軟性と速度を最大限に活用することが可能になります。
VMware Aria Hub Free Tier (無償版)をお申し込みいただくことで VMware Aria Guardrails を試用していただくことが可能です。
