This post is also available in: English (英語)
パロアルトネットワークスは、本日、ホストとコンテナ向けセキュリティ機能を強化した包括的なクラウドネイティブセキュリティプラットフォーム「Prisma® Cloud」の新版を提供開始することを発表します。
パロアルトネットワークスは、Prisma Cloudによりクラウドネイティブ環境全体での包括的なクラウドワークロード保護機能を提供しており、ホストやコンテナ、Kubernetes、サーバーレスを、実行時およびアプリケーションライフサイクル全体でセキュリティを向上させるよう取り組んでいます。
統合ツールに対する業界全体のニーズ
クラウドネイティブの採用が拡大し続ける中では、統合型の包括的なセキュリティプラットフォームが不可欠です。2020年に「Cloud Native Computing Foundation」という団体の実施した調査では、以下の点が明らかになりました。
組織は効率性を追求して複数のクラウドネイティブ型アーキテクチャを組み合わせて導入し、それらをさまざまなパイプライン技術(アプリの継続的な開発からリリースまでの作業手順を自動化する技術)と連携させ、リリースサイクルを短縮しています。しかし多くの場合、これらのスタックを保護するために複数の専用セキュリティソリューションが導入されており、運用上の負担とセキュリティの欠陥が生まれています。
今回Prisma Cloudのクラウド上の包括的なワークロード保護機能が強化されたことで、DevOpsチームがワークロードとアプリケーションの迅速な構築と展開を継続しながら、セキュリティチームが包括的な保護を実現できるようになります。
Web アプリケーションと API セキュリティの統合アプローチ
昨年10月に提供開始したPrisma Cloud 2.0 では、Web アプリケーションと API のセキュリティ (WAAS; Web Application and API Security)のモジュールを追加しました。これは複数クラウドにまたがって実行中の Web アプリケーションと API を検出し、カスタマイズ可能なOWASP Top 10(国際ウェブセキュリティ標準機構が発表するWebアプリケーションの脅威のTOP 10)で挙げられた脅威からの保護、API セキュリティ、ランタイム保護を提供するものです。これら各機能はディフェンダー統合エージェントフレームワークと連動する単一ダッシュボード上で提供され、クラウドネイティブアプリケーションの保護を迅速かつ容易に展開することができます。
本モジュールの検証のため、弊社の製品チームは他社の主要ソリューションと比較する内部ベンチマーク分析を実施しました。200,000件以上の正規Webトランザクションに対して実在するさまざまな攻撃手法を実行し、誤検知 (false positive) と検出漏れ (false negative) の割合を測定しました。
新しいホワイトペーパー(英語)で詳しく説明されているように、弊社チームは、Web アプリケーションファイアウォール (WAF) 機能が、競合6社のソリューションよりも優れていることを示しました。誤検知と検出漏れの回避を示す精度は、Prisma Cloud モジュールが99.3%と最も高く、誤検知率も0.02%と最も低かったです。
WAASにおけるボットリスク管理と高度な DoS 保護の追加
図 1:Prisma Cloudのボット保護制御画面(新機能)
今回ベンチマークテストの結果とともに、以下の強固な WAAS 機能の追加を発表します。
図 2:WAASイベント情報の一覧表示 (新機能)
ホスト向けセキュリティ: カスタマイズしたコンプライアンス ポリシーを適用
コンテナと Kubernetes の採用が急速に進む中、依然としてホストやクラウド VM (仮想マシン) がクラウドインフラストラクチャ戦略の中心です。組織がリフトアンドシフトアプローチを採用してワークロードをクラウドに移行する場合でも、VMを利用してコンテナ化されたスタックを実行する場合でも、セキュリティチームはワークロードを保護する必要があります。これには、継続的な脆弱性管理とコンプライアンス、ランタイム保護 (ファイルの整合性監視、ログ検査、カスタムランタイムルール)、アクセスコントロール、フォレンジックが必要です。
今回の新たなに追加したカスタマイズ可能なホスト用コンプライアンスポリシーを使用すると、ホストのオペレーティングシステム、オーケストレーターの構成、ランタイムチェックを対象とするBashスクリプトを使用して、各保護機能に対するセキュリティポリシーとコンプライアンスチェックを実装できます。
図 3. ホスト向けカスタム可能なコンプライアンスポリシー 画面
コンテナセキュリティ: Kubernetes クラスタ認識と CRI-O コンプライアンスチェックの強化
Kubernetes クラスタの認識
絶えず進化し拡張を続けるKubernetes環境をセキュリティチームが監視および保護する際、Kubernetesネイティブのコンストラクトを使用してルールとポリシーをマッピングし、ランタイム監査を表示することで時間と労力を削減できます。Prisma Cloud の新版では、プラットフォーム全体でのKubernetes クラスタ名の活用方法に関して改善が行われました。
図 4. クラスタ定義を使用してフィルタリングされたセキュリティインシデント
クラスタ名を利用して、環境やポリシーをマッピングしたり、ランタイム環境や監査を表示したりすることができます。例としては、以下のようなものがあります。
図4のスクリーンショットは、インシデントエクスプローラでセキュリティインシデントを表示するためのフィルターとしてクラスタを使用する方法を示しています。これによりセキュリティチームはインシデントを素早く診断し、キルチェーンデータを確認してタイムラインビューを表示できます。
CRI-O コンプライアンス チェック
CRI-Oがコンテナランタイムのオープンスタンダードとして浮上する中、DevOpsおよびセキュリティチームはこの技術に適切なセキュリティポリシーやコンプライアンスが適用されることを望んでいます。
Prisma Cloudの新版では、コンテナやイメージ、ホスト構成の全体で、25件のコンプライアンスチェックをCRI-O にマッピングします。以下のスクリーンショットで強調表示されているように、ユーザーはコンプライアンスルールエディタ内でドロップダウンメニューから事前作成されたマッピングを迅速かつ容易に選択することができます。
図 5:新しい CRI-O コンプライアンスポリシー
その他の主な機能
新版ではほかにも、プラットフォーム全体にわたる機能強化が含まれています。下記は代表的な機能です。
上記のすべての機能はPrisma Cloud Compute EditionとPrisma Cloud Enterprise Editionで提供開始されています。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.