Prisma Cloudで実現するパブリッククラウドセキュリティ

こんにちは。SB C&S 横山です。
今回はCSPMという概念及び、それを実現する製品であるPrisma Cloudについてご紹介致します。

パブリッククラウド利用のリスク

現在の企業ネットワークにおいてクラウドが主流になっているのはもはや言うまでもありません。その中でもAWS、Azure、GCPは3大クラウドと呼ばれ圧倒的なシェアを誇っています。ではクラウドを利用する際のリスクについて考えるとどうでしょう？

実はパブリッククラウドのインシデントのほとんどがユーザによる設定ミスが原因だと言われています。ガートナーによると2025年迄のクラウドセキュリティインシデントの99%は顧客の過失だと推測されています。

ガートナー参考リンク

CSPMとは

そこで出てくるのがCSPM（Cloud Security Posture Managemen）という概念です。ミスが起きる背景として、クラウド側の設定の手軽であることに加え、マルチクラウド環境の場合はそれぞれのサービスに精通した知識が必要になってきます。

例えばAWSならAWS configやGuard Duty, AzureならAzure MonitorやAzure Security Centerといったように多種多様なサービスが出てくるためこれら全てを理解して使いこなすのはかなりの困難を極めます。

CSPMではクラウドサービスやアカウントに縛られることなく監視を実施し、コンプライアンス評価やアラート・修正といった情報を提供してくれます。下記の例のように異なるクラウド環境を利用していてもCSPMを通すことで簡単に一括管理が可能です。

Palo Alto Prisma Cloud

そんなCSPMを実現するのがPalo Alto Networks社の製品であるPrisma Cloudです。Prisma Cloudではクラウド環境の可視化、ポリシー制御によるコンプライアンス保護を提供しています。

ユーザは利用しているクラウドがコンプライアンスに違反していないのか、設定ミスや漏れが起きていないのかをPrisma Cloudを通して一括で管理することが出来ます。

リソース可視化

マルチクラウド環境においても同一画面にてリソースを包括的に確認出来ます。またクラウドサービスや利用アカウント毎の絞り込みも可能です。

アラート管理

ポリシーに引っかかった場合、アラートとして上がっていきます。設定不備だけでなく、それがどのコンプライアンス(NIST, GDPRなど)に違反しているのかも確認出来ます。

ポリシー作成

Prisma Cloudではデフォルトでも十分な数のポリシーが定義されており、主要なコンプライアンスに対するルールは網羅されています。
それ以外にも自社固有のコンプライアンスに遵守出来ているか確認したいといった場合、ユーザ側でポリシー作成が可能です。
専用のコンプライアンスを定義し、それをポリシー/アラートルールとして割り当てます。

修復機能

問題が判明した場合は、該当のアラートを選択すればクラウドサービスにて修正する際の手順が記載されています。
また、PrismaCloudからCLIコマンドをリモートで流すことでクラウドサービスにログインすることなく復旧が可能です。
※復旧用のCLIコマンドはデフォルトポリシーにて多数定義されていますが、自身で作成も可能です。

もう一つ、問題を発見した時点で即座に復旧させる自動復旧(Auto Remidiation)機能もあります。ポリシーにかかった時点でPrisma Cloud側で自動で復旧用のCLIコマンドが投入されます。これを使えばユーザはアラートが起きたことすら意識せずに、クラウドサービスが利用出来ます。

まとめ

クラウドは便利な反面、その手軽さからユーザ側でミスを引き起こす可能性が必然的に高くなります。Prisma Cloudの利用で継続的かつ包括的なクラウドセキュリティーをサポートし、CSPMを実現出来ます。

さらにPrisma Cloudにはもうひとつ、CWPP機能も兼ね備えています。CWPPではコンテナ等のクラウドワークロードに対するセキュリティが実現出来ますがこちらについてはまた別の機会でご紹介出来ればと思います。