THE COMPLETE CLOUD OPERATIONS SECURITY BLUEPRINT（Part-５)

完全なクラウド運用セキュリティブループリント(第五章）

完全なクラウド運用セキュリティブループリントについての記事です。５回に分けて投稿しています。第５回目(最終章）の今回は、優先順位やコントロール、モニタリングの変更についてです。

Prioritization

潜在的に長く、増え続ける脆弱性のリストがアプリケーションで発見されると、優先順位付けが脆弱性管理を成功させるための重要なプロセスになります。 特定の問題は修正するか、すぐに修正する必要がありますが、一部の問題は、アプリケーションまたは組織にとって許容可能なレベルのリスクであることもあります。これらのリスクを測定し、CVSS（共通脆弱性評価システム）スコアなどの標準化されたリスクメトリックに基づいて優先順位を付けることができますが、アプリケーションに対するリスクのコンテクストを理解する価値はあると思います。たとえば、コンポーネントにSQLインジェクションの重大なリスク（CVSS 9.0–10.0）があったとして、アプリケーションが顧客やその他の機密データを含むデータベースに接続しない場合、そのリスクの優先順位は低くなります。

より詳しくはこちらをご一読ください。

• ベストプラクティス: 最高の仕事をするためのJenkins ビルドのモニタリング

Remediation

許容できないリスクとして優先順位が付けられている脆弱性は、修復または軽減によって対処できます。 修復とは、単にコードの問題を修正することです。 ほとんどの場合、不足しているパッチをインストールすると問題が修正されます。 パッチが入手できない場合や修正が面倒すぎる場合は、問題の適切な回避策を見つけるか、システムの影響を受ける部分をオフラインにすることで問題を軽減できます。

ベストプラクティスとして、ビルドやデプロイメントプロセスの一部として脆弱性管理を自動化する必要があります。 従来の脆弱性スキャン、SCA、およびコンテナセキュリティ製品のほとんどは、CI / CDパイプラインの一部としてスキャンを開始したり、Jenkins、Gitlab CI、Electric Cloud、GoCDなどのツールでリリースを自動化するために簡単に統合できます。 これらのスキャンを監視することで、パイプラインの状態を評価し、成功したことを確認することができ、失敗したビルドのトラブルシューティングもできます。

CHANGE CONTROL & MONITORING

Configuration Management

自動化することで、デプロイされたすべてのアプリケーションに対して一貫したセキュリティコントロールを確実に実装できます。標準化され自動化された反復可能なアーキテクチャは、一般的なユースケースに使用でき、デプロイされたアプリケーションの監査と認定のプロセスを簡素化します。Puppet、…