プロフィールイスラエルのスタートアップ企業が、コンテナ化された交通警官を考案しました。同社によると、これは実行時に不正なコンテナの不正な動作を阻止するとのこと。
Aqua Security は、インテリジェントなデフォルト、機械学習、脅威調査を組み合わせて、コンテナベースのアプリケーションのライフサイクル セキュリティを提供します。Linux コンテナと Windows コンテナ、複数のオーケストレーション環境、オンプレミス展開と AWS、Azure、その他のパブリック クラウドの両方をサポートします。
同社のコンテナセキュリティ製品には、Dockerエンジンとマイクロサービスシステムで実行される他のコンテナの間に介在する専用のEnforcerコンテナが搭載されています。Enforcerコンテナは、ホワイトリスト方式を適用することで不正行為を阻止し、ランタイムコンテナを監視してその動作を監視し、不正なコンテナを捕捉します。
これはどのように作動しますか?
これはAquaのコンテナセキュリティプラットフォームの一部です。DevOps環境では、レガシーソフトウェアのような6ヶ月ごとのリリースサイクルによる正式なチェックなしに、週に数回コードがレジストリに発行されます。これは段階的なリリースサイクルではなく、継続的なリリースサイクルです。
個々の開発者はセキュリティ機能を実装する必要があり、支援と監視が必要です。Aqua はビルド時にサービスを提供し、ビルドを失敗させたり、コンテナの脆弱性をフラグ付けしたり、開発者が修正できる方法を提案したりします。
Aqua Software が開発者に脆弱性を報告。クリックして拡大。
開発者がこれを無視して脆弱なイメージをレジストリにプッシュすると、実行されてしまいます。同社によると、Aqua Enforcerはまさにそこで機能し、不正なソフトウェアを捕捉します。Aqua Enforcerは軽量で、ホストサーバーのリソースをほとんど消費しないと同社は主張しています。
Aqua によれば、従来のセキュリティ ツールやコード検査ツールはコンテナを認識できず、コンテナに代わって動作する Docker エンジンからの呼び出しのみを受け取るとのことです。
仮想サーバーでは、VMはコンテナほど流動的ではなく、毎日同じIPアドレスを持ちます。NSX系ツールと同様に、VMからのアクション、イベント、呼び出しを確認できる静的ツールも開発されています。
しかし、コンテナの場合、実行時にIPアドレスがどうなるかはわかりません。この制限を回避するために、EnforcerはコンテナのIPアドレスではなく、コンテナによって呼び出されるサービスを監視します。
Enforcerは一種の機械学習も実装しており、コンテナの実行時のアクティビティをすべて記録してプロファイルを構築します。将来、コンテナがこのプロファイルから逸脱した場合、逸脱したアクションを拒否し、その試行をログに記録することができます。
アプリケーション全体をシャットダウンするのではなく、動作が不安定なコンテナ部分のみがトラップされ、アプリケーションの残りの部分は続行されるため、アプリケーション ユーザーへの中断は最小限に抑えられます。
水色の背景
Aquaは2015年にCEOのDror Davidoff氏とCTOのAmir Jerbi氏によって設立されました。創業年にはシード資金として450万ドル、2016年には900万ドル、そして今年は2500万ドルを調達しました。テルアビブに研究開発オフィスを、ボストンとサンフランシスコに営業・マーケティングオフィスを構えています。ヨーロッパではパートナー企業を通じて事業を展開しています。
顧客数は2桁に達し、トップ10のソフトウェア企業やトップ5の保険会社など、多くの有名企業と取引があります。DockerとKubernetesをサポートし、WindowsとLinux上でのコンテナデプロイメントにも対応しています。
競合にはTwistlockやCapsule8などがあります。Aquaは、その包括的なアプローチによってソフトウェア開発パイプラインと実行時の脆弱性を制御できると考えています。®
