クラウドセキュリティは、多くの企業にとって必須の検討事項です。クラウドセキュリティを強化するため、CSPM(Cloud Security Posture Management)ツールの導入を検討すると、ツール選定が必要になります。ツール選定では多くの場合、自分のクラウド環境で提供されているCSPMツールを始めとして、サードパーティーのCSPMツールなどと比較・評価を行いますが、比較・評価にはそれなりの時間が必要となります。
そこで本記事では、AWS社のCSPMサービスであるSecurity HubとCPSMの代表的なサービスであるPalo Alto Networks社のPrisma Cloudを比較・評価して両ツールの違いを解説し、Prisma Cloudを利用することのメリットをお伝えいたします。
Prisma Cloudとは
Prisma CloudというCSPMツールを初めて聞いた方向けに、まずはPrisma Cloudを説明いたします。
Prisma Cloud®は、クラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)であり、アプリケーション、データ、インフラストラクチャに対して業界で最も広範なセキュリティとコンプライアンスを提供し、コードからクラウド™まで、テクノロジー スタック全体のセキュリティ保護を支援します。
Prisma CloudのSaaSベースのソリューションは、ハイブリッドおよびマルチクラウド環境において、データ流出、インターネットに公開されているAPI、脆弱なCI/CDパイプラインが発生しやすい攻撃経路を検出するのに役立ちます。Prisma CloudのAIを活用したソリューションを活用して、問題をプロアクティブに予測し、ますます巧妙化する脅威や攻撃者に先手を打つことができます。
原文:Prisma Cloud® is a Cloud Native Application Protection Platform (CNAPP), providing you with the industry’s broadest security and compliance coverage for applications, data, and infrastructure, helping you secure your entire technology stack, from Code to Cloud™.
Prisma Cloud’s SaaS based solution helps you detect attack paths prone to data exfiltration, internet exposed APIs, and vulnerable CI/CD pipelines across hybrid and multi-cloud environments. Leverage Prisma Cloud’s AI powered solution to proactively anticipate issues and stay ahead of increasingly sophisticated threats and attackers.
Prisma Cloudはアプリ、データ、インフラに対して、幅広くセキュリティを提供しているCSPMツールとなります。また、ハイブリッドやマルチクラウド環境において発生しやすい攻撃経路を検出できることや、AIを活用して問題を予測することができます。
Prisma Cloudでは以下3つの機能が提供されています。
- クラウドセキュリティ
認証や権限の問題、設定ミス、未解決の脆弱性に起因する攻撃からクラウド資産を保護するのに役立ちます。 - アプリケーションセキュリティ
アプリケーション依存関係の視覚化を提供し、IaC、ソースコード上のシークレットを検出するのに役立ちます。 - ランタイムセキュリティ
アプリケーションのライフサイクル全体にわたってマイクロサービス、ホスト、コンテナ、サーバーレス機能を保護するのに役立ちます。
クラウドへの移行の初期段階にある場合は、クラウドの体制をより詳細に可視化するために、クラウドセキュリティから始めることをPrisma Cloudは推奨しています。
本記事ではこのクラウドセキュリティで利用できる以下6つの機能をAWS Security Hubで利用できるかで比較・評価します。
- 監視可能なパブリッククラウド
- ポリシー
- コンプライアンス
- アラート
- リソース可視化
- ダッシュボード
監視可能なパブリッククラウド
Prisma CloudとSecurity Hubで監視可能なパブリッククラウドです。
Prisma Cloudは複数のパブリッククラウドに対応していますが、Security HubはAWSのマネージドサービスのため、AWSしか監視できません。
| 項目 | Prisma Cloud | Security Hub |
|---|---|---|
| 評価 | 評価 | |
| AWS | 〇 | 〇 |
| Azure | 〇 | × |
| GCP | 〇 | × |
| Oracle Cloud Infrastructure | 〇 | × |
| Alibaba Cloud | 〇 | × |
参考:クラウド・アカウント・オンボーディング (prismacloud.io)
ポリシー
Prisma Cloudではポリシーとは検知項目を表しており、Security HubにおけるFindingsと同じです。
組み込みポリシーの種類では、Prisma CloudはAWS用のポリシーだけで約1766種類が用意されています。
また、Prisma Cloudはマルチクラウド対応のため全パブリッククラウドのポリシーを合計すると約2940種類が用意されております。
検知領域では、Prisma Cloudのクラウドセキュリティは異常な振る舞い(ユーザ、ネットワーク、DNS)、特権アクティビティ、ネットワークの保護、ワークロードのインシデント、設定ミス・非推奨設定、脆弱性、攻撃経路の有無を検知できます。
また、Security Hubは組み込みのコンプライアンスによる検知や、他サービスとの統合(※1)により、侵入検出の結果(Amazon GuardDuty)、脆弱性(Amazon Inspector)、S3バケットポリシーの検出結果(Amazon Macie)、一般にアクセス可能なクロスアカウントリソース(IAM Access Analyzer)などを検知できます。
| 項目 | Prisma Cloud | Security Hub | |||
|---|---|---|---|---|---|
| 評価 | 補足 | 評価 | 補足 | ||
| 組み込みポリシーの種類 | 〇 | 約1766種類 (※AWSポリシーのみ) |
〇 | 約304種類 | |
| ポリシーのカスタマイズ | 〇 | SQLに似た独自言語でカスタマイズ | △ | Configでカスタムルール作成後に 統合で可能 (※2) |
|
| ポリシー重要度 | 〇 | 5段階 | 〇 | 5段階 | |
参考:Prisma Cloudポリシーの管理
※1:AWS Security Hub での製品の統合 – AWS Security Hub (amazon.com)
※2:AWS Security Hub が AWS Config のマネージドルールとカスタムルールの評価結果を受け取るようになりました (amazon.com)
コンプライアンス
Prisma Cloudではコンプライアンス標準や業界標準に対してクラウド環境の健全性とコンプライアンス体制を表示、評価、レポート、監視、レビューできます。
本記事では、異なるバージョンのコンプライアンス標準は別の標準としてカウントしています。
| 項目 | Prisma Cloud | Security Hub | ||
|---|---|---|---|---|
| 評価 | 補足 | 評価 | 補足 | |
| 組み込みのコンプライアンス | 〇 | 約67種類(AWSの場合※1) | 〇 | 8種類(※2) |
| コンプライアンスのカスタマイズ | 〇 | ポリシーを付け替えてカスタム可能 | △ | コンプライアンス内の ルール有効/無効のみ(※3) |
| コンプライアンス準拠状況のレポート作成 | 〇 | – | × | – |
参考:Prisma Cloud Compliance
※1:Compliance Standards (prismacloud.io)
※2:Security Hub 標準のリファレンス – AWS Security Hub (amazon.com)
※3:すべての標準におけるコントロールの有効化と無効化 – AWS Security Hub (amazon.com)
アラート
Prisma Cloudではすべてのクラウド環境を継続的に監視し、ポリシー違反によってアラートを生成します。
Security Hubと同様にPrisma Cloudでもアラートを手動で無視できます。無視されたアラートは、同じポリシー違反が再び発生した場合でも無視された状態のままになります。(View and Respond to Prisma Cloud Alerts)
また、アラートのポリシーに関連付けられたCLIコマンドを実行し、違反を検出したクラウド環境でポリシー違反を自動的に修正できます。
| 項目 | Prisma Cloud | Security Hub | ||
|---|---|---|---|---|
| 評価 | 補足 | 評価 | 補足 | |
| アラートのメール通知 | 〇 | △ | EventBridgeとSNSとの統合で可能 | |
| サードパーティへの通知 | 〇 | Teams、Slackなど複数製品に対応 (※1) |
△ | EventBridgeとLambdaとの統合で可能 |
| アラートの無視 | 〇 | 〇 | ||
| アラートの一時的な無視 | 〇 | × | ||
| リソースの自動修正 | 〇 | △ | EventBridgeとLambdaとの統合で可能 | |
| リソースを修正するための推奨手順 | 〇 | ポリシーから手順を確認できる(※2) | △ | ドキュメントから個別に手順を確認する必要がある(※3) |
| アラート状況のレポート作成 | 〇 | × | ||
参考:Prisma Cloud Alerts
※1:Prisma Cloudでの外部統合の構成
リソースを修正するための推奨手順の確認方法
Prisma Cloudの場合は、ポリシー毎に具体的な修正手順が記載されているため、アラートへ対応しやすいかと思います。
※2:Risk Prioritization and Remediation (prismacloud.io)
Security Hubの場合は、下記リンクのようにドキュメントが修正手順となります。修正手順の中でさらに別ドキュメントの参照を促され、ドキュメントを確認する手間が発生します。
※3:Amazon Simple Storage Service コントロール – AWS Security Hub
リソース可視化
Prisma CloudではAWSリソースだけでなく、マルチクラウドで所有しているリソースとアラート状況を一元的に確認できます。
また、それぞれのリソースで検知されているアラート数も容易に確認できます。
AWSではPrisma Cloudのようにリソースとアラート状況を一覧化する機能はなく、各サービス毎にリソースを確認する必要があります。
※ AWS Resource Explorerでリソースを横断的に検索、一覧化できますが、検索結果の上限が1000件などの制限があります。
参考:Prisma Cloud Asset Inventory(プリズマ クラウド アセット インベントリ)
ダッシュボード
Prisma Cloudではダッシュボードを利用して、クラウド環境の健全性とセキュリティ体制を可視化できます。
Prisma Cloudのダッシュボード
参考:Get Started with Dashboards
Security Hubのダッシュボード
CSPMの導入にかかる手間
Prisma Cloudではパブリッククラウドと接続することで全リージョンのリソース情報が取得されるため、リソースの可視化、監視を容易に開始できます(※1)。一方、Security HubではSecurity Hub自体がリージョンサービスのため、全リージョンを監視する場合、各リージョンでのSecurity Hub有効化と設定の管理が必要となります。また、他AWSサービス/サードパーティーと統合して利用する場合、各リージョン/サードパーティ毎に統合するサービスの有効化、設定の管理が必要となります。
※AWS Organizationsにより、一部サービスで上記を自動化することも可能です。
※1:【CSPM】Prisma Cloud で AWS 環境をチェックしてみた
| 項目 | Prisma Cloud | Security Hub |
|---|---|---|
| 評価 | 評価 | |
| CSPM導入にかかる手間 | 〇 | △ |
まとめ
本記事では、AWSのSecurity HubとPrisma Cloudのクラウドセキュリティ機能を比較・評価して両ツールの違いを解説し、Prisma Cloudを利用することのメリットをお伝えしました。本記事でPrisma Cloudを利用することのメリットが伝わりましたら幸いです。