SUSEのコンテナ・セキュリティ・プラットフォームがAmazon EKSの公式ベストプラクティスに認定：コンテナセキュリティの大きな一歩

4月 16, 2024 | By: Kevin Ayres

AWSとの協業とDominik Wombacher氏の働きかけにより、SUSEのコンテナ・セキュリティ・プラットフォームNeuVector Primeが、6つの主要なセキュリティ分野にわたっての公式ベストプラクティスに認定されたことをお知らせします：

- ランタイムセキュリティ

- ポッドセキュリティ

- ネットワークセキュリティ

- イメージセキュリティ

- インシデントレスポンスとフォレンジック
- 企業コンプライアンス
今回の発表は、AWSとSUSEのコンテナセキュリティ強化における協業が大きく前進したことを意味します。

NeuVector Primeは、唯一の100%オープンソースのKubernetesネイティブ・セキュリティ・プラットフォームです。以下のようなサプライチェーンの脆弱性スキャンとコンテナ、ポッド、ホストの完全なランタイム保護の両方を網羅する8つの異なるセキュリティ機能でEKSワークロードを保護します：
1. CI/CD脆弱性管理とアドミッションコントロール。Jenkinsプラグインでコンテナイメージをスキャンし、コンテナ・イメージ・レジストリをスキャンし、本番環境へのデプロイに対してアドミッション・コントロール・ルールを適用します。
2. セキュリティ侵害からの保護。アプリケーションの正常挙動を学習し、ホワイトリストベースのポリシーを作成して、正常な動作への違反を検出します。
3. 脅威検出。コンテナに対するDDoS攻撃やDNS攻撃などの一般的なアプリケーション攻撃を検出します。
4. DLPおよびWAFセンサー。機密データのデータ漏洩防止のためにネットワークトラフィックを検査し、一般的なOWASP Top10 WAF攻撃を検出します。
5. ランタイム脆弱性スキャン。レジストリ、イメージ、実行中のコンテナ・オーケストレーション・プラットフォームとホストをスキャンし、一般的な脆弱性（CVE）とアプリケーション固有の脆弱性を検出します。
6. コンプライアンスと監査。Docker BenchテストとKubernetes CIS Benchmarksを自動的に実行します。
7. エンドポイント/ホストのセキュリティ。権限の昇格を検出し、ホスト上およびコンテナ内のプロセスとファイルのアクティビティを監視し、コンテナファイルシステムに不審なアクティビティがないか監視します。
8. マルチクラスタ管理。単一のコンソールから複数のKubernetesクラスタを監視・セキュリティ管理。
NeuVector Primeの特許取得済みネットワーク・ディープ・パケット・インスペクション（DPI）技術が差別化のポイントです。これにより、実行時のネットワーク脅威検出だけでなく、Kubernetes環境内でのゼロ・トラスト・ネットワークのマイクロセグメンテーションとデータ漏洩防止（DLP）を自動化することができます。

これらのランタイムレイヤーを、脆弱性管理とアドミッションコントロールを特徴とするサプライチェーンレイヤーと組み合わせることで、NeuVector Primeはユーザーに下記機能を提供します：
- セキュリティ体制の迅速な強化：堅牢なセキュリティ体制を1時間以内に実現。
- ゼロ・トラスト・セキュリティ・アズ・コードの自動化：セキュリティの実装と管理を簡素化します。既存のCIパイプラインに導入できます。
- ライブ攻撃を特定し、アプリケーションを保護：ゼロデイ攻撃、パッチ未適用の脆弱性、内部脅威から保護します。
EKSセキュリティベストプラクティスは、EKSマイクロサービスインフラを強化し、セキュリティの詳細なアプローチによって脅威を軽減するためのガイダンスを提供します。NeuVector Primeはこのアプローチの中心で機能します。

NeuVector Primeは、AWSデプロイのセキュリティを簡素化し、以下の利点を提供します：
- コンプライアンスを容易に：PCI、GDPR、SOC 2、HIPAA、NISTなどの業界標準への準拠を実現します。NeuVector Primeは、ネットワークセグメンテーション、脆弱性スキャン、構成の監査、アクセス制御、データの暗号化などの機能により、これらの要件を満たすことができます。
- 安心の自動セキュリティ：NeuVector Primeは、自動的にコンテナを検出しアプリケーション挙動を学習し、異常、脅威、脆弱性からコンテナを保護するセキュリティポリシーを作成します。さらに、リアルタイムのセキュリティ・イベント・ロギングにより、コンテナのトラフィックを継続的に可視化します。
- Amazon EKSとのシームレスなスケーリング：NeuVector PrimeはAmazon EKSのスケーリング機能とシームレスに統合されています。アプリケーションの進化に合わせて、NeuVectorは自動的に適応し、コンテナ環境を保護します。
- NeuVector Primeはネットワークタップとして機能：NeuVector Primeは、AWSサービスから独立した独自のソース・オブ・トゥルースを維持し、マイクロサービスインフラストラクチャを保護するための徹底的な防御アプローチの一環としてAmazon Cloudwatchやその他のサービスにも接続します。NeuVector Primeは、ゼロデイ攻撃やDLPを含むEKSクラスタ内のEast-Westトラフィックを分析、ブロックできる唯一のソリューションです。
- NeuVector Primeは、k8sネイティブアプリケーションとして企業全体のEKSにインストールされ、集中制御のために統合されます。
コンテナセキュリティを次のレベルへ：
- NeuVector Rodeoワークショップにお申し込みください： 90分の無料ワークショップでNeuVector Primeの導入、設定、運用を体験してください。
- re:Inforce 2024でNeuVector Primeを体験してください：ブース#1101にて、NeuVector Prime on Amazon EKSのライブデモをご覧いただけます。
- AmazonマーケットプレイスでNeuVector Primeをご覧ください： NeuVectorプライムとAWSとの統合について詳しくご紹介します。