マルチクラウドの普及に伴って、複数のクラウドサービスを一元的に効率よく管理する手法の確立が急務となっています。しかし、異なるクラウドプロバイダー間でのセキュリティ基準や管理手法を手動で統一することは、高度な専門知識を持つ技術者の存在や大量の時間を必要とするため、多くの企業では現実的とは言えません。
このようなマルチクラウド環境のセキュリティの課題を解決するために、VMwareでは「VMware Tanzu」ファミリーから、一貫したコンプライアンス管理を通じてクラウドを安全かつ効率的に管理するソリューションである「VMware Tanzu Guardrails」を提供しています。
本記事では、VMware Tanzu Guardrailsの概要や具体的なメリットについて解説します。
マルチクラウド環境におけるセキュリティとコンプライアンスの課題
近年、多くの企業が、アプリケーションの迅速な提供やAI技術の活用でビジネスを加速させるために、マルチクラウドを採用しています。しかし、各クラウドの利用ルールやセキュリティポリシー、コンプライアンスを確保するためには、それぞれのクラウド毎に異なる手順を踏んで、統一的な管理を目指す必要があります。
クラウドサービスを安全かつ効果的に利用するには、コストの適切な管理、システムの保護、そしてサービス停止時間の最小化など、適切なセキュリティ対策とコンプライアンスの確保が求められます。また、データ保護やアクセス制御、脅威の検知とその対応、そして法的な規制の遵守など、多岐にわたるセキュリティ対策が必要です。これらの要素は企業の信頼とビジネスの成功に深く関連しています。
「見えない」パブリッククラウドではさらにリスクが増加
特に、利便性と拡張性に優れたパブリッククラウドでは、IT部門がすべてを管理することが困難であり、セキュリティの設定ミスやアクセス制御の失敗からくる予期せぬ情報漏洩や不正アクセスのリスクが増大します。
マルチクラウド環境では、これらのリスクがさらに高まり、状況の検知や特定が一層困難になります。利用状況をリアルタイムで監視して適切なセキュリティ設定を維持するには、複数のクラウド環境を横断して管理できる「自動化ソリューション」が不可欠となります。
VMware Tanzu Guardrailsとは?
VMware Tanzu Guardrailsは、マルチクラウド環境の運用とセキュリティポリシーをコードで定義してリスクを最小化する「CSPM(Cloud Security Posture Management)」領域のソリューションです。「ガードレール」という名前の通り、クラウド環境に適切なルールを確実に遵守させるガードレールを提供し、そのルールに準拠する運用を支援します。
VMware Tanzu Guardrailsはクラウドのベストプラクティスを基に、設定やユーザー、ネットワークの情報を自動的に確認することで、セキュリティの設定ミスやコンプライアンス違反をリアルタイムで検出します。ポリシー違反の発生時は手動または自動で修復することで、クラウドプラットフォームを健全に保ちます。
一貫したセキュリティポリシーを提供するVMware Tanzu Guardrailsは、セキュリティとコンプライアンスの複雑さを解消し、クラウドセキュリティの新しい視点を提供する強力なソリューションです。
クラウド環境に安全な「ガードレール」を設定
VMware Tanzu Guardrailsを活用することで、問題点の検出とリスクの優先順位付けを自動化され、クラウド環境の管理が統一されたポリシーで実施できるようになります。その結果、コスト、セキュリティ、パフォーマンスの各面での継続的な改善提案を受けつつ、複数のクラウド環境にわたるセキュリティポリシーの一貫性を確保することが可能となります。
代表的なユースケースとしては、AWS、Microsoft Azure、Google Cloud、Kubernetesなどを目的に合わせて利用しているマルチクラウド環境での活用が挙げられます。各担当者が異なる管理ツールで運用を行っているため状況把握が難しく、脆弱性などのセキュリティリスクを即座に堅牢化したい場合、VMware Tanzu Guardrailsに各クラウド環境のアカウント情報を登録するだけで、最新の業界標準ポリシーとの差分の設定を容易に可視化することができます。
また、VMware Tanzu Guardrailsは他のCSPM製品と比べて「対応するルール数の多さ」と「高いリアルタイム性」に大きな優位性を持っています。ルール数は、1,000以上の事前定義されたクラウドセキュリティとコンプライアンスのベストプラクティスを活用できるため、様々なセキュリティ要件に対応する柔軟性を提供します。また、クラウド側の設定ミスの検出方法として定期的なAPI経由の取得だけではなく、常時設定変更のイベントを監視しているため、数秒~20秒以内に設定ミスを検知できます。ビジネスに合わせて日々変化するクラウド環境の変化に即座に対応することが可能です。
VMware Tanzu Guardrailsの4つの主要機能
その①:Policy-as-Code
Infrastructure as Codeの標準設定をテンプレートとして管理し、複数のクラウドアカウントに対して一貫性のあるポリシーを適用します。コンプライアンス要件に準拠したアカウント設定を効率化することで、クラウド運用におけるコストおよびリスクを低減します。
その②:セキュリティポスチャー管理
クラウド環境やKubernetesのイベントを監視し、ポリシー違反をリアルタイムで検知します。検知したリスクの修正を自動化することも可能です。Enforceモードを利用すると、パブリッククラウドのインターフェースを直接触ることなく、VMware Tanzu Guardrails上で事前に設定したポリシーへの強制的な設定修正を実行できます。
その③:各リソースのアクセス管理
クラウドリソースへのアクセス経路を明確に可視化することで、アクセス権限の状態を詳細に調査します。不要な権限や過剰な権限を排除し、機密情報への不正アクセスやセキュリティ違反を特定することができます。さらに、リスクの高いアクセスや、IAMのベストプラクティスに合致しない設定の把握も可能です。
その④:ホストの構成管理とセキュリティ
ホストの脆弱性やコンプライアンスの状態をわかりやすく可視化して、クラウド環境の全体像を瞬時に把握します。これにより、クラウド活用における安全性を向上させ、適切なセキュリティ設定を継続的に保つことができます。また、複数のアカウントの情報を一つの画面で確認できるので、異なるツールを使い分けての調査が不要となります。
VMware Tanzu Guardrailsのエディション表
VMware Tanzu Guardrailsは、監視対象となるクラウドリソース数に応じたクレジットと、VMwareによるオンボーディングやトレーニング、定期的なビジネスレビューなどを含むカスタマーサクセスのセットで提供されています。
エディションは、クラウド環境向けの「Advanced」エディションと、クラウドおよびホスト向けの「Enterprise」エディションが用意されています。
| VMware Tanzu Guardrailsの機能とエディション | Advanced (クラウド向け) | Enterprise (クラウドおよびホスト向け) |
|---|---|---|
| クラウド インベントリと検索 | ||
| ランディング ゾーンのポリシー テンプレート | ||
| 構成エラーの管理 | ||
| 権限の管理 | ||
| 自動修正 | ||
| クラウドのセキュリティ ポスチャとコンプライアンス | ||
| ホストの構成管理 | ||
| ホストの脆弱性スキャン |
VMware Tanzu Intelligence Servicesとの関係性
本記事でご紹介しているVMware Tanzu Guardrailsは、「VMware Tanzu Intelligence Services」を構成する製品の一つです。VMware Tanzu Intelligence Servicesは、アプリケーションとインフラの関係性を詳細に分析し、マルチクラウド環境でのアプリケーションのコスト、パフォーマンス、セキュリティを持続的に最適化するための製品群です。
「VMware Explore 2023 US」では、VMwareの運用管理ソリューションである「VMware Aria」ファミリーの一部の製品が、「VMware Tanzu」ファミリーの「Optimize(最適化)」カテゴリとして、新たに「VMware Tanzu Intelligence Services」として展開されることが発表されました。
VMware Tanzu Intelligence Servicesに含まれる4つの製品
VMware Tanzu CloudHealth
マルチクラウド環境のコストを可視化し、
リソース最適化を支援
(旧称:VMware Aria Cost powered by CloudHealth)
VMware Tanzu Insights
AIや機械学習でマルチクラウド環境を分析し、
ビジネスに対する洞察を提示
(旧称:VMware Aria Business Insights)
VMware Tanzu Guardrails
マルチクラウド環境にポリシーを定義し、
ルール違反や設定ミスを検出
(旧称:VMware Aria Guardrails)
VMware Tanzu Transformer
データセンターからマルチクラウド環境への
シンプルな移行を支援
(旧称:VMware Aria Migration)
VMware Tanzu Guardrailsの製品名称について
VMware Tanzu Guardrailsは過去に名称変更・統合が数回行われています。直近では、「VMware Aria Automation for Secure Clouds」から「VMware Aria Guardrails」へと統合され、今回の発表で「VMware Tanzu Guardrails」としてVMware Tanzuファミリーにリブランディングされることになりました。
VMware Tanzu Guardrailsのご相談はネットワールドまで!
VMware Tanzu Guardrailsは、予防と検知のテクノロジーが組み合わせて、マルチクラウド環境でのガバナンスを強化するためのソリューションです。一貫したポリシーを適用し、クラウド設定のベストプラクティスを取り入れることで、セキュリティやアクセス制御の設定ミスから生じるリスクを迅速に対応します。
マルチクラウドのセキュリティ管理にお悩みの方は、お気軽にネットワールドまでご相談ください。