概要
現在、企業は IT 自動化を利用して、ますます複雑化するインフラストラクチャ、アプリケーション、ハイブリッドクラウド環境におけるセキュリティを管理しています。多くの組織は、自動化戦略を導入する際、コストのかからないコミュニティベースの自動化ソリューションから始めます。
これらのソリューションは特定の状況では有用ですが、多くの場合、エンタープライズ環境で必要とされるサポートやセキュリティ機能を備えていません。これは、複数のチームやドメインにわたって脆弱性に対処する場合、コストのかかる欠陥となることがあります。
自動化を大規模に実装しようとする多くの組織にとって、Ansible® は中核的な存在です。これは、熱心なコミュニティによるオープンソースソフトウェア開発を使用しています。アップストリームの Ansible は 20 以上の異なるコミュニティ・プロジェクトで構成されており、それらは多くの場合、AWX と呼ばれる GUI と API のラッパーを用いて結合されています。
オープンソース・コミュニティは先進的な IT 運用とアプリケーション開発の基盤ですが、オープンソースソフトウェアのすべてのバージョンが、セキュリティ上の懸念を抱える企業に同様に適しているわけではありません。この点はコミュニティ版 Ansible の複数のリリースバージョンと、セキュリティを重視した Red Hat® Ansible Automation Platform を比較すると明らかになります。
コミュニティがサポートする自動化の代価
完璧にセキュアな環境というものは存在しませんが、企業のセキュリティを念頭に置いて自動化ツールを設計することがますます重要になっています。ソフトウェア・サプライチェーン攻撃は、経済的損害と風評被害の両方を引き起こす可能性がありますが、その頻度は増しています。
- 過去 3 年間で、ソフトウェア・サプライチェーン攻撃の年間平均件数は 742% 増加しています1。
- 2025 年までに組織の 45% がサプライチェーン攻撃を受けると予想されます2。
- ソフトウェア・サプライチェーンの侵害は、データ侵害の 5 件に 1 件を占めています3。
- 攻撃に対する身代金の支払いは、前年比で 71% 増加しています4。
これらの脆弱性を考慮すると、コミュニティのサポートのみが提供されるアンマネージドのオープンソースツールには問題が生じる可能性があります。オープンソース・リポジトリはほぼどこでもホストできるため、均一性が欠如し、変更の追跡が困難になり、更新が失われる可能性が高くなります。
コミュニティ・プロジェクトが何らかの予防対策を備えている場合もありますが、これらの保護手段には大きなバラつきがあり、不均一に適用されるため、脆弱性が高いプロジェクトと低いプロジェクトが出てくる可能性があります。だからといって、オープンソース・コンポーネントを使用するすべてのプロジェクトが企業での使用に不適切というわけではありません。ただし、それらのコンポーネントをパッケージ化してテストし、より厳格な基準に適合する必要があります。
AWX と Ansible Automation Platform のセキュリティの相違点
AWX などのコミュニティ・プロジェクトはセキュリティを優先する組織向けに設計されていません。一方、Ansible Automation Platform は、サポート、パフォーマンステスト、バグ修正、その他の標準化されたプラクティスによってセキュリティが強化されており、より一貫性があり脆弱性の少ないエンタープライズ環境の構築に役立ちます。
サポート
コミュニティがサポートするアップストリーム・プロジェクトである AWX は、ほとんどの企業がビジネスクリティカルな自動化ツールに期待する多くの機能を備えていません。AWX には、セキュリティ脆弱性に関するサービスレベル契約 (SLA) の保証、独立系ソフトウェアベンダー (ISV) との互換性を持つ認定コンテンツ、バージョン間のサポート付きアップグレード移行は含まれていません。
Ansible Automation Platform には以下の機能があります。
- Red Hat が提供する強化されたトラブルシューティングと根本原因分析による、パッケージ化されたコンポーネントの 24 時間サポート
- Red Hat カスタマーポータルに蓄積された豊富な知識へのセルフサービスアクセス
- Red Hat Ansible Engineering チームによるバグ修正と機能の優先順位付け
パフォーマンステスト
AWX の新しいバージョンはコミュニティメンバーによってテストされますが、コミュニティベースのテストによってエンタープライズ環境に必要な互換性とパフォーマンスが確保されるという保証はありません。Red Hat のチームは、Ansible Automation Platform の新しいバージョンを開発するにあたり、継続的かつ精力的にテストを実施し、プロセス全体を通じてパフォーマンスの向上をログに記録し、企業の進化するニーズに対応する新機能を確実に構築します。
Ansible Automation Platform には以下の機能があります。
- 夜間の QA と統合テスト
- 新たなセキュリティ脆弱性の悪用を防ぐために行う、製品の定期的な侵入テスト
- Ansible Playbook や他のコンテンツのスケールアウト実行のための automation controller と automation mesh のストレステスト
Container Health Index とセキュリティ格付け
Ansible Automation Platform は、Container Health Index (CHI) と呼ばれるセキュリティ格付けを用いてサポート対象の実行環境を公開します。つまり、Red Hat がコンテナイメージを認定し、保守し、サポートします。コミュニティ版の AWX では同様のサービスを利用できません。
- 実行環境のセキュリティ格付けが「A」以外になった場合、それを格付け「A」に戻すまでの SLA は 5 営業日です。これは AWX の実行環境には適用されません。
セキュアな開発ライフサイクル・プラクティス
セキュア開発ライフサイクル (SDL) は体系化された一連のベストプラクティスで、Red Hat での製品開発の特定のフェーズに標準化されています。Ansible Automation Platform は SDL に従って開発されます。AWX と異種の Ansible サブプロジェクトは分散型の性質を持っているため、SDL に従いません。
SDL のプラクティスと基準の目標は次のとおりです。
- リリースされたソフトウェアの脆弱性の数を減らす
- 未検出または未対処の脆弱性による潜在的な影響を軽減する
- 脆弱性の根本原因に対処し、その後の再発を防止する
バグ修正
Ansible Automation Platform のバグは中央データベースで追跡され、開発チームが日常的にバグの修正に取り組んでいます。バグ解決の優先順位は、ユーザーからの直接のフィードバックに従って決定されます。
- お客様は access.redhat.com を介して Red Hat が特定したバグ修正にアクセスできます。
- お客様はカスタマーポータルでケースをオープンするか、緊急性の高いバグ修正については電話で地域のサポートセンターに連絡することができます。
一方、コミュニティ版 Ansible では、バグは一元的に追跡されるのではなく、バグの優先順位付けはコミュニティ全体で行います。また、バージョン間でバグ修正が異なるため、コミュニティ版 Ansible はバージョン間での移行が難しくなります。
Ansible Automation Platform には、企業がバグに迅速に対処し、業務運営に対して起こり得る影響を制限するために必要な、一貫性があり、かつパーソナライズされた対応が付いてきます。
Event-Driven Ansible
Ansible Automation Platform には、標準化された監査済みのプロセスを通じてソフトウェアの更新や修復を含むさまざまなタスクを自動化できる、Event-Driven Ansible が含まれています。Event-Driven Ansible には以下のようなメリットがあります。
- 大量の反復タスクによって頻繁に発生し、サプライチェーンを脆弱にしかねない、人的ミスを最小化する
- セキュリティ対応を自動化して、脆弱性が緊急の問題になる前に迅速に対処する
Ansible と Ansible Automation Platform の相違点についてさらに詳しい情報をご確認ください。
Red Hat Ansible Automation Platform を選ぶ理由
Red Hat Ansible Automation Platform は、あらゆる段階でセキュリティを優先しながら、IT 自動化を大規模に構築および運用するための一貫したエンタープライズ・フレームワークを提供します。お客様のチームは、Red Hat による 24 時間体制のサポートも活用しつつ、企業全体のセキュリティとコンプライアンスを自動化し、認定された自動化コンテンツを使用して、連携した形で脅威に対応できるようになります。
Red Hat のオープンな開発モデルが、Ansible Automation Platform を支えるエンジニアとコミュニティ内の多数のオープンソース Ansible プロジェクトを結びつけます。コミュニティのメンバーは互いに協力して最高のアイデアを見極め、さらに優れたものへと昇華させるために取り組みます。Red Hat はコードに貢献し、アップストリーム・プロジェクトから製品を生み出すことで彼らをサポートします。
Ansible Automation Platform は、パッケージングと配布を単純化し、すべてのコンポーネント間でテスト済みで信頼できる相互運用性を提供します。18 カ月のサポートライフサイクルも提供されているため、Ansible Automation Platform によって、アップストリームのオープンソースツールを使用する際の不確実性とセキュリティ脆弱性が最小化されます。
さらに、Ansible Automation Platform は CyberArk、IBM、Palo Alto Networks などの認定パートナーからのコンテンツを使用することでセキュリティ・ソリューションの統合ポイントとして機能できます。これらのコンテンツは幅広い外部のセキュリティ・テクノロジーの管理や統合の自動化に使用できます。