本ブログ記事では、マルチクラウド ガバナンス サービスである「VMware Tanzu Guardrails」をご紹介します。 

VMware Tanzu Guardrailsとは

VMware Tanzu Guardrailsは、クラウドとKubernetesを対象としたマルチクラウド ガバナンス サービスです。これまではAria Guardrailsと呼ばれていましたが、VMware Explore 2023 Las VegasにてTanzu Guardrailsへの改称と、Tanzu Intelligence Servicesファミリーとなることが発表されました。Tanzuブランドの中では、「Develop・Operate・Optimize」のうち、マルチクラウド環境を最適化する「Optimize」に位置付けられる製品です。

VMware Explore 2023 Las Vegas開催時の速報レポートは下記のブログ記事でお伝えしておりますので是非ご覧ください。

• VMware Explore 2023 Las Vegas 速報レポート
• VMware Explore 2023 Las Vegas レポート - VMware Tanzu

　

また、Aria Automation for Secure Clouds（旧CloudHealh Secure State）が2023年8月をもって提供終了されましたが、その機能はTanzu Guardrailsに引き継がれています。つまりTanzu Guardrailsでは、次に挙げるような従来からAria Guardrailsが持っていた機能と、Secure Cloudsが持っていた機能の両方を持つことになります。

• Policy as Codeによる、セキュリティ ポリシーのDrift検出と適用
  → 旧Aria Guardrailsの機能
• クラウドとKubernetesのセキュリティ ポスチャ管理（CSPM / KSPM）、クラウド インフラストラクチャ権限管理（CIEM）、セキュリティ フレームワークによるコンプライアンス チェック
  → 旧Aria Automation for Secure Cloudsの機能

Tanzu Guardrailsは、VMware Tanzu Hub（旧VMware Aria Hub）と統合されており、管理操作は基本的にTanzu Hubから実施します。そして 製品ドキュメント についても、本ブログ執筆時点（2023年9月）ではTanzu Hubのものに含まれています。

　

Tanzu Guardrailsの管理画面

ここからは、実機のスクリーンショットをもとにご紹介します。

Tanzu Guardrailsは、SaaSとして提供されており、VMware Cloud Services Consoleからアクセスできます。ちなみに2023年9月時点では、まだ旧称の「VMware Aria Guardrails」となっています。

 

そして管理画面は、Tanzu Hubの「ガバナンス（Governance）」メニューとして組み込まれています。そのため、VMware Cloud Services Consoleから直接Tanzu Hubを開いても同画面にアクセス可能です。

　 

「ポリシー（Policies）」画面では、Secure Clouds由来の「セキュリティ ポスチャ ポリシー（Security Posture Policies）」や、Tanzu Guardrailsならではの「ポリシー テンプレート（Policy Templates）」などを操作できます。

セキュリティ ポスチャ ポリシーでは、CIS Benchmarksなどのコンプライアンス フレームワークをベースとしたルールをもとに、クラウド（AWS / Azure / GCP）にあるリソースのセキュリティに関連する設定をチェックします。

　

各ポリシーを開くと、設定をチェックするためのクエリとしてSimple Search Query Language（SSQL）が記載されていますが、これはSecure Cloudsで利用されていた機能が引き継がれています。

　 

ちなみに旧Secure Cloudsは完全にはTanzu Hubに移行されておらず、ひきつづき以前のUIからの操作が必要になる部分もあります。下記の画面には、VMware Cloud Services Consoleからアクセス可能です。

　 

それでは、従来のAria Guardrailsから利用されてきたポリシーについても、ポリシー テンプレートから確認してみます。

 

いくつかポリシー テンプレートを開いてみると、Secure Cloudsで用意されていたポリシーとは大幅に形式が異なることが分かります。ポリシー テンプレートは、ライブラリ（Library）にサンプルが登録されていますが、一見するとポリシーの記述が難しそうなコードが利用されています。そこで、もうすこし詳しく仕組みをご紹介したいと思います。

　

Tanzu GuardrailsポリシーとIdem

Tanzu Guardrailsのポリシーでは、ただ初期設定の自動化や設定のチェックをするだけでなく、クラウド運用におけるガードレールとなるといったコンセプトになっています。設定済みの環境からの構成情報検出や、管理対象の構成変更が発生した際に「期待しているシステムの状態」との差分を検出して自動修復するような仕組みを持ちます。

 

その仕組みを実現するため、Tanzu Guardrailsでは Idem（アイデム）というOSSを利用しています。

IdemはSalt（SaltStack）の流れをくむソフトウェアで、複数回の処理を実行しても必ず同じ状態になる「べき等性（idempotent）」から命名されています。

Saltでは「期待しているシステムの状態」をコード（Salt State / .slsファイル）として記載しておき、「salt state.apply」コマンドを実行すると、.slsファイルにしたがって構成の差分（Drift）を検出・修正します。そしてIdemでは、AWSやAzureといったクラウドを対象として同様の処理ができ、さらに既存のシステム構成情報を読みだして.slsファイルを生成できます。つまり、Idemを利用することで、さきほどのポリシー テンプレートに記載されていたコードの生成を自動化できるようになります。

 　

たとえば、下記のようにAWS EC2インスタンスの構成情報をdemo.slsファイルに取得します。ここで生成されるコードが、Tanzu Guardrailsのポリシー テンプレートでも活用されています。

$ idem describe aws.ec2.instance > ./demo.sls

 　

そして下記のようにコマンドを定期的に実行すれば、「idem describe」実行時からの予期しない設定差分を検出・修正できます。

$ idem state ./demo.sls

 　

このような仕組みがTanzu Guardrailsの内部でも利用されているはずです。ポリシー テンプレートでサポートされているIdemのState（Idemによる操作対象）は、製品ドキュメント に記載されています。

 

実際のところ、運用するとなると.slsのコードを記載することになると思いますが、前述のとおりサンプルとなるポリシー テンプレートが ライブラリで提供 されています。例としてAWSにランディング ゾーン（複数のAWSアカウントを利用する大規模向け環境）を作成するためのポリシー テンプレートも提供されていますが、下記のように整理されておりポリシーを記述する際の参考になるかと思います。

 　

ポリシーによる検出と修正

最後に、ポリシーによって問題が検出されている様子をご紹介します。

Tanzu Guardrailsのポリシーで検出した問題点は、Secure Cloudsによるものも含めて「結果（Findings）」画面で確認できます。

Secure Cloudsの機能はTanzu Guardrailsに統合されていますが、Finding Sourceの表示を確認すると、Secure Cloudsのポリシーによる検出であることが判別できます。そして実際に問題点を修正するための「REMEDIATE」ボタンが表示されていますが、これをクリックすると、Tanzu Hubではなく、従来から用意されていたSecure Clouds独自のWeb UIに遷移します。

 　

一方で、Tanzu GuardrailsのポリシーによるDriftの検出の場合も、Finding sourceなどから判別可能です。Driftの検出では、「監視（Monitor）」だけでなく「適用（Enforce）」も選択でき、自動的に問題を修正することができます。「監視」を選択している場合には、「REMEDIATE DESIRED STATE FINDINGS」ボタンをクリックすると問題を修正できます。

　

そして、Driftを検出した場合は、「VIEW DIFF」ボタンをクリックすることで具体的な設定差分を確認することもできます。

　

本ブログ記事ではVMware Tanzu Guardrailsの概要についてご紹介しました。

なおTanzu Guardrailsを無償評価する場合は、Tanzu Hub Free Tierを申し込むことで同時に利用可能になります。下記URLより申し込みできますので、Tanzu Hubと合わせてぜひ実環境にてご確認いただければと思います。

• VMware Tanzu Hub Free Tier 申し込みページ ※リンク先での表記はまだ旧称のままです。
  https://www.vmware.com/learn/1732750_REG.html

参考

• VMware、Tanzuの拡張によりエンタープライズ規模での、アプリのデリバリを加速
  https://news.vmware.com/jp/releases/20230823_explore_map_jp
• Multi-Cloud Governance through Policy Enforcement with VMware Tanzu Guardrails
  https://blogs.vmware.com/management/2023/08/multi-cloud-governance-through-policy-enforcement-with-vmware-tanzu-guardrails.html
• Create public cloud landing zones and scale policy enforcement with VMware Aria Guardrails
  https://blogs.vmware.com/management/2023/08/create-public-cloud-landing-zones-and-scale-policy-enforcement-with-vmware-aria-guardrails.html
• Automate public cloud policy enforcement with VMware Aria Guardrails
  https://blogs.vmware.com/management/2023/06/automate-public-cloud-policy-enforcement-with-vmware-aria-guardrails.html
• VMware Tanzu Hub Free Tier 申し込みページ
  https://www.vmware.com/learn/1732750_REG.html