DevSecOps

Prisma® Cloudは、開発者ツールと連携して、クラウド ネイティブのインフラストラクチャとアプリケーションで、自動化されたセキュリティを実現します。

クラウド ネイティブ アプリケーションの開発はペースが速く複雑です。セキュリティ チームがこのペースに追従するのは困難な場合があります。しかしDevOpsプラクティスは、自動化を使用して、導入前にアプリとインフラストラクチャの安全を確保できるため、セキュリティ チームのプレッシャーを軽減することができます。

クラウド セキュリティのシフトレフト(早期対処)について学習します

単一のツールで、最新アーキテクチャのクラウド環境すべてにわたるIaC、コンテナ イメージ、ソース コードを保護

Prisma Cloudは、ソフトウェア開発サイクル全体に包括的なセキュリティを組み込んでいます。このプラットフォームは、IaCテンプレート、コンテナ イメージ、Gitリポジトリ内の脆弱性、設定ミス、コンプライアンス違反を特定します。オープン ソース コミュニティで支えられるIaCスキャンだけでなく、長年のコンテナ専門知識と脅威分析で裏付けるイメージ分析も提供します。可視性とポリシー制御を一元化すると、エンジニアリング チームはツールを使用したまま、フルスタックのセキュリティを確保できつつ、セキュリティ チームは安全なコードのみを導入できます。
  • 複数の言語、ランタイム、フレームワークのサポート
  • 構築時から実行時までの一貫した制御
  • DevOpsツールへの組み込み
  • Infrastructure as Codeのスキャン
    Infrastructure as Codeのスキャン
  • コンテナ イメージのスキャン
    コンテナ イメージのスキャン
  • Policy as code
    Policy as code
  • ドリフト検出
    ドリフト検出
  • 機密情報のスキャン
    機密情報のスキャン
  • Gitレポジトリの脆弱性管理
    Gitレポジトリの脆弱性管理
  • OSSライセンスのコンプライアンス
    OSSライセンスのコンプライアンス

PRISMA CLOUDソリューション

DevSecOpsに対するアプローチ

Infrastructure as Codeのスキャン

Infrastructure as Codeでは、本番環境に導入する前に、クラウド インフラストラクチャをコードの状態で保護できます。Prisma Cloudは、自動化を使用し、Terraform、CloudFormation、Kubernetes、Dockerfile、Serverless、およびARMテンプレート用にDevOpsツールのワークフローにセキュリティを組み込むことで、ソフトウェア開発ライフサイクル全体のセキュリティを簡素化します。

  • コード内のクラウド設定ミスのチェックを自動化

    ソフトウェア開発ライフサイクルの各ステップに、設定ミスに関する自動化されたチェックを組み込みます。

  • オープン ソースとコミュニティの力を活用

    Checkovは、構築時のスキャンを強化するためにBridgecrewが作成したオープン ソース ツールであり、活発なコミュニティに支えられ、何百万回もダウンロードされています。

  • 設定ミスのチェックを開発者ツールに組み込む

    Bridgecrewは、IDE、VCS、CI/CDツールとネイティブに連携し、開発者が既存のワークフローの中でコードを保護できるようにしています。

  • 設定ミスの詳細なコンテキストを組み込む

    Bridgecrewは、IaCリソースの依存関係と開発者の最新の修正を自動的に追跡し、大規模チームでのコラボレーションを向上させます。

  • 自動化されたフィードバックとコード内の修正を提供する

    設定ミスに対するプル リクエスト コメントとプル リクエストを自動化し、特定された設定ミスの修正をコミットします。


コンテナ イメージのスキャン

コンテナ イメージは、クラウド ネイティブ アプリケーションの主要なコンポーネントです。しかしコンテナ イメージには、通常、オペレーティング システムや構成など、開発者がコントロールできない多くのリソースが含まれています。Prisma Cloudを使用すると、セキュリティ チームは、コンテナ イメージの脆弱性とコンプライアンス違反に対する実用的なフィードバックとガードレールを提供して、これらのコンポーネントのセキュリティを確保できます。

  • コンテナ イメージ内の脆弱性を特定する

    twistcliを使用して、コンテナ イメージ レイヤーに組み込まれたオペレーティング システムやオープン ソース パッケージの脆弱性を特定します。

  • 修正ステータスと修正ガイダンスを提供する

    更新パッケージの優先順位をつけるために、修正ステータス、修正対象となる最小バージョン、修正プログラムがリリースされてからの経過時間を、開発者に伝えます。

  • 重大度レベルに基づいて脆弱性を警告またはブロックする

    脆弱性のあるイメージで重大度レベル要件を満たさないと本番環境へプッシュする前にイメージをブロックするガードレールを追加します。

  • コード内のコンテナのコンプライアンスを実現する

    コンテナ イメージの依存関係と設定が、CISなどの一般的なベンチマークに違反していないか、また構築時にマルウェアなどの独自の問題が発生していなかをチェックします。

  • コンテナ イメージの信頼性を確保する

    構築時のスキャンと信頼できるレジストリを活用してイメージを強化し、安全なコンテナ イメージのサプライ チェーンを実現します。

  • ソフトウェア開発ライフサイクル全体での統合

    よく使用されるCI/CDツール、VCS、レジストリにセキュリティのフィードバックとガードレールを組み込みます。


Policy as code

従来のセキュリティ テストは個々の組織が個々のツールを使用して実施するため、管理がサイロ化され、再現が難しくなっています。Prisma CloudではPolicy as Codeを提供するため、制御がコードに組み込まれます。これにより、制御の再現、バージョン管理、ライブ コード リポジトリに基づいたテストができます。

  • コードを使用してポリシーを構築し管理する

    IaCテンプレート用に、PythonとYAMLで、チェックリスト、スキップリスト、グラフベースのカスタム ポリシーを定義、テスト、バージョン管理します。

  • アカウントとエージェントをコードで導入および設定する

    Terraformを使用して、アカウントのオンボーディング、エージェントの導入、ランタイム ポリシーの設定(OpenAPIファイルやSwaggerファイルに基づく取り込みや保護など)を行います。

  • 設定ミスに対応して標準装備のカスタム修正を活用する

    Prisma Cloudでは、コードに組み込まれた何百ものカスタムの修正があるため、クラウド リソースやIaCテンプレートにカスタムの修正を追加できます。

  • 作成中のコードに直接フィードバックを提供する

    IaCテンプレートには、自動修正、プル/マージ リクエスト コメント、およびプル/マージ リクエストの自動修正によるフィードバックが直接含まれます。


ドリフト検出

Infrastructure as Codeは、実行中のクラウド環境と完全に同期している場合にのみ有効です。しかし「緊急時対応」やサイロ化したチームにより、ランタイム環境がIaCの状態と一致しないクラウドのドリフトが発生する可能性があります。Bridgecrewを活用して、GitOpsのベスト プラクティスに従い、ドリフトを迅速に特定して修正します。

  • クラウド全体のドリフトを特定する

    AWS、Azure、GCPなどのクラウド環境とIaC間のドリフトを特定する簡単な方法がBridgecrewにあります。

  • ドリフトのコード表現を提供する

    Bridgecrewはクラウドの状態を自動的にコードに変換するため、実行中のクラウドの状態とIaCテンプレートの違いを比較できます。

  • トレースを使用して、コードとクラウド リソースの調整を簡素化する

    設定ミスが特定された場合、Bridgecrewに含まれるメタデータで、修正が必要なコードの行と修正担当開発者をすばやく特定します。

ドリフト検出

機密情報のスキャン

悪質なアクターは、わずかな時間で、オンラインで公開されている認証情報を見つけて悪用します。Prisma Cloudを使用すると、本番稼働前に機密情報を特定します。シグネチャとヒューリスティクスを使用して、構築時に開発環境のIaCテンプレートとコンテナ イメージの機密情報を見つけて削除します。

  • IaCテンプレートの機密情報を見つける

    IDE、CLI、pre-commit、およびCI/CDツールで、IaCテンプレート内のパスワードとトークンを特定します。

  • コンテナ イメージ内の機密情報を特定する

    ローカルのコンテナ イメージ内、レジストリ内、およびCI/CDスキャン内でハードコードされた機密情報を見つけます。

  • 複数の方法で機密情報を特定します

    正規表現、キーワード、またはエントロピーベースの識別子を使用して、一般的な機密情報や一般的でない機密情報(AWSのアクセス キーやデータベース パスワードなど)を見つけます。

機密情報のスキャン

Gitリポジトリ脆弱性管理

現代のアプリケーション コードの大部分は、オープン ソースの依存関係で構成されています。問題となる変更で配慮が不足すると、開発者は最新のパッケージを使用して脆弱性を最小限にできません。Node.js、Python、Java、およびGoリポジトリにあるオープン ソースの依存関係に含まれる脆弱性をPrisma Cloudで特定します。

  • ソフトウェア部品表を作成する

    Prisma Cloudは、リポジトリ内の依存関係を見つけ、使用中のパッケージのソフトウェア部品表(SBOM)を作成して検証します。

  • オープン ソースおよび独自のデータベースに対する依存関係のセキュリティを検証する

    Prisma Cloudは、gitベースおよび非gitベースのリポジトリをスキャンしてパッケージの脆弱性を見つけ、NVDやPrisma Cloud Intelligence Streamなどの公開データベースとそれらの脆弱性を比較します。

  • 修復のためのガイダンスを含む

    修正ステータス、修正対象となる最小バージョン、修正プログラムがリリースされてからの経過時間が、調査結果の出力に含まれ、更新ライブラリの優先順位をつけます。

Gitリポジトリ脆弱性管理

OSSライセンスのコンプライアンス

すべての企業には、オープン ソース ライセンスの独自の利用規定があります。コンプライアンス レビューを手動で行い、オープン ソース ライブラリがコンプライアンスに準拠していないことがわかるまで、悠長に待たないでください。Prisma Cloudは、依存関係のオープン ソース ライセンスをカタログ化し、カスタマイズ可能なポリシーに基づいてリポジトリのコミットを警告またはブロックできます。

  • コストのかかるオープン ソース ライセンス違反を回避する

    Node.js、Python、Java、Goの依存関係にあるオープン ソース パッケージ ライセンスに基づいて、構築を警告およびブロックします。

  • gitおよび非gitのリポジトリをスキャンして問題を特定する

    Prisma CloudはGitHubとネイティブに統合されていますが、twistcliを使用して、あらゆるリポジトリ タイプをスキャンできます。

  • デフォルトのルールを使用したり、アラートやブロックをカスタマイズする

    コピーレフト ライセンスや利用自由なライセンスの社内要件を満たすように、ライセンス タイプに基づいてアラートとブロックしきい値を設定します。

OSSライセンスのコンプライアンス