リアルタイム保護：アクティブなワークロードの監視（6/12）

2024-12-17

Machine-translated — the English original is authoritative.

デプロイ前のスキャンは不可欠ですが、ランタイム保護は最後の防衛線です。ワークロードが稼働すると、権限昇格、ファイルレスマルウェア、暗号通貨マイニング攻撃など、進化し続ける脅威にさらされます。本番環境を保護するためには、リアルタイムの監視と緩和が不可欠です。

運用継続性に関するDORAの要件を満たそうとする組織にとって、ランタイム保護は、ワークロードを安全かつコンプライアンス準拠の状態に保つために必要な安心感を提供します。

なぜランタイム保護が重要なのか

サイバー脅威は、アプリケーションがデプロイされた後も止まることはありません。ランタイム保護がない場合：

• 本番環境の脆弱性が攻撃に利用されたままになる。
• 不正アクセスや悪意のある動作により、ワークロードが侵害される可能性がある。
• リスクがエスカレートする前に緩和する機会をチームが見逃す可能性がある。

Aqua CNAPPによるリアルタイムのワークロード保護

1. 適切なエンフォーサーのデプロイ：
2. Aqua Enforcer：VMやKubernetesノードにインストールされ、最も広範な機能を提供します。
3. KubeEnforcer：Kubernetesクラスター内でアドミッションコントローラーとして機能します。
4. MicroEnforcer：コントロールプレーンのアクセスが制限されているが、コンテナアプリケーションを保護する必要がある場合 – AWS Fargateのワークロードなどを想定しています！
5. NanoEnforcer：AWS Lambdaのような環境のサーバーレス関数に埋め込まれています。 注：エンフォーサーの種類によって、ランタイムポリシーで利用可能なコントロールが決まります。
6. デフォルトポリシーの有効化：
7. Aquaの事前構築済みランタイムポリシーから開始します。これには以下のコントロールが含まれます：
   • リアルタイムマルウェア検出：既知の悪意のあるシグネチャをブロックします。
   • 権限昇格の防止：ワークロードが不要な権限で実行されないようにします。
   • リバースシェルブロック：ワークロードへの不正アクセスを防止します。
8. アラートモードからエンフォースモードへの移行：
9. 運用を中断せずにインシデントを監視するため、アラート専用のモードから開始します。
10. チームがポリシー設定に自信を持ったら、脅威を自動的にブロックするエンフォースモードへと段階的に移行します。
11. インシデントレポートと統合：
12. AquaをSIEMプラットフォームと統合し、インシデントレポートを一元化します。
13. SOCチームに詳細なアラートを提供し、迅速な対応を可能にします。

実践例：リアルタイムの暗号通貨マイニング検出

暗号通貨マイニングは一般的なランタイム脅威です。AquaはCPUまたはメモリ使用量における異常を検出し、既知の暗号通貨マイニングパターンと相関させます。そして、ポリシー設定に応じて、SOCチームにアラートを送信するか、ワークロードを自動的にブロックします。

![Runtime Protection Policy Example](/blog/images/2024/12/real-time-protection-monitoring-active-workloads-6-1

Originally published on allthingscloud.eu (2024-12-17).