【CWPP】Prisma Cloud Container Defenderのアーキテクチャ

本記事は TechHarmony Advent Calendar 2024 12/2付の記事です

みなさんこんにちは。

本ブログでは、Prisma Cloudを用いたサービス開発や運営の中で得た知見や、使いこなし方を共有することで、クラウドセキュリティの重要性の認知度を高め、対策レベルを向上させることを目指しています。ただの情報発信ではなく、実際の使用例や失敗から学んだ教訓など、実務に役立つ具体的な内容も提供していきます。

今回は、CWPPについての3つ目の記事として、Container Defender(エージェント)のアーキテクチャについて詳しく解説していきたいと思います。

 

Defenderのアーキテクチャ

Defenderの全体感

はじめに、DefenderとPrisma Cloudコンポーネントとの関係を以下の図にまとめました。

Prisma Cloudコンソールが中心的な役割を果たしており、脅威インテリジェンスを提供するIntelligent Stream、未知のマルウェア解析を行うWildFireと連携しています。また、Defender自身もコンテナで、監視対象となるコンテナに対して設定変更が不要なため、新たにデプロイされたコンテナにも迅速に対応することができるようになっています。

クラウドネイティブ向けに設計されたDefender

Defenderは、よくあるエージェントとは異なり、カーネルモジュールのインストールやホストOSの変更は不要です。Dockerコンテナとして展開され、システムコールをフックし、カーネルレベルのアクティビティをリアルタイムで監視することで、コンテナ上の不正な処理を即座に検出し、監視対象を保護することができます。また、異常の検出には機械学習が用いられ、プロセスやファイルシステム、ネットワークの普段の動作を記憶し、そこから逸脱する異常な動作があると即座に異常としてアラートを出します。

ユーザーモードでの動作とパフォーマンスへの影響

Defenderはユーザーモードプロセスとして実行されます(ユーザーモードプロセスとは、カーネル全体に影響を与えない範囲で動作するプロセスのことです)。そのため、仮にDefenderが停止したとしても、ホストや他のコンテナに対する影響は最小限に抑えられます。また、CPUやメモリの使用をcgroupsで制限しており、ホストのパフォーマンスや安定性に悪影響を与えないように設計されています。

Intelligent StreamやWildFireとの連携

Intelligent Streamは、リアルタイムで最新の脅威インテリジェンスをDefenderに提供します。これにより、Defenderは既知の脅威や新たに発見された攻撃手法に迅速に対応できるようになります。Intelligent Streamが提供するインテリジェンスには、最新の脅威情報、攻撃手法、脆弱性情報が含まれており、Defenderはこれを活用して環境内の異常な挙動を検出し、即座に対応することが可能です。

WildFireは、未知のファイルや通信を分析するクラウドベースのマルウェア分析サービスです。DefenderはWildFireに疑わしいファイルや未知のマルウェアを送信し、これらが悪意のあるものであるかどうかを分析させます。WildFireはファイルの動的および静的な分析を行い、その結果を元に新たな脅威シグネチャを生成し、Defenderはこの新しいシグネチャを利用して、ゼロデイ攻撃や未知の脅威に対する防御を行います。この仕組みにより、未知の脅威に対しても迅速かつ効果的な防御ができるようになります。

このように、Intelligent StreamとWildFireの連携により、Defenderは常に最新の脅威情報を取り入れ、未知の脅威に対する分析と防御を行うことで、クラウド環境のセキュリティレベルを向上させてくれます。

まとめ

Defenderは、クラウドネイティブ環境に最適化されたセキュリティソリューションであり、最小限の権限で動作することでホストやコンテナのパフォーマンスに影響を与えず、Dockerコンテナとして起動してシステムコールをフックすることで、カーネルレベルのアクティビティをリアルタイムで監視できます。さらに、Intelligent StreamやWildFireとの連携により、最新の脅威インテリジェンスと未知の脅威への対応できる包括的な防御を行います。

 

最後に、当社ではPrismaCloudを用いたマネージドサービスを提供しているので紹介させてもらいます。

===

【CSPMマネージドサービス SmartOneCloudSecurity】
SmartOneCloudSecurityは、Prisma Cloud を用いたCSPMマネージドサービスです。Prisma Cloud の導入から設定変更まで、弊社技術担当者がお客様のCSPM対策をサポートします。CSPMの導入を検討中の方はもちろん、Prisma Cloud を利用中だけど機能や運用面でもっと上手に活用したい、というような課題をお持ちな方は、お気軽に下記URLからお問い合わせください。Prisma Cloud のPoCの相談も受けています。

New!! CWPPの導入サポートも始めました!

Smart One Cloud Security®
パブリッククラウドのセキュリティ設定を診断/監視するマネージドCSPMサービスです。Palo Alto Networks社Prisma Cloud(CSPM機能)を使い易く、簡単に導入いただけます。
www.scsk.jp
タイトルとURLをコピーしました