概要
多くの組織は、DevSecOps の実装にあたり、アプリケーション・パイプラインにのみ焦点を当てますが、考慮すべき領域は他にもあります。DevSecOps に Red Hat® ソリューションを使用すれば、組織はコンテナ化された環境でアプリケーション・パイプラインを利用できるようになるだけでなく、従来の環境とコンテナ化された環境の両方で、DevSecOps プラクティスを使用してアプリケーションを構築、デプロイ、および実行できるようになり、アプリケーションとインフラストラクチャのライフサイクルの初期段階でセキュリティの問題と脆弱性に対処することができます。
Red Hat と当社のセキュリティ・パートナー・エコシステムが包括的な DevSecOps アプローチの実践を可能にし、セキュリティを犠牲にすることなくイノベーションを継続できるように支援します。Red Hat は、オープン・ハイブリッドクラウド全体でセキュリティを重視したアプリケーションを構築、デプロイ、実行するための堅牢なポートフォリオを提供するのに必要な専門知識と能力を備えており、お客様が DevSecOps 導入のどの段階にあっても適切にお手伝いできます。
なぜ DevSecOps が重要なのか
DevSecOps は複雑な取り組みであり、特に DevOps ツール (および DevOps プロセス全般) は絶えず成長し、変化します。そして、先進的なアプリケーションを開発するためのテクノロジー (コンテナ、Kubernetes、パブリッククラウド・サービスなど) を使用して、DevSecOps を実現し、その大規模な実装を可能にするソフトウェアセキュリティとテクノロジー向けの追加の対策も必要になります。
開発チームと運用チームは、コンテナや Kubernetes のセキュリティを含めた情報セキュリティを、最初の時点から、アプリケーションとインフラストラクチャのライフサイクルの不可欠な要素にする必要があります。そのためには、重要な IT インフラストラクチャの保護、セキュリティ重視のアプリケーション開発および実行、機密データの保護、変化への対応が必要です。
DevSecOps は、これらの IT チームとセキュリティチームが人、プロセス、テクノロジーにまたがるセキュリティの問題に取り組むための助けとなり、スピードと効率の向上、セキュリティの向上、一貫性の強化、再現性、およびコラボレーションを可能にします。具体的には、以下の実現を支援します。
- 安全性の向上とリスクの最小化:アプリケーション開発やインフラストラクチャのライフサイクルの早い段階でセキュリティの脆弱性を排除することで実現します。これにより、潜在的なプロダクションの問題を減らすことができます。
- DevOps リリースサイクルの効率とスピードの向上:従来のセキュリティプラクティスとツールの排除、自動化の使用、ツールチェーンの標準化、および、Infrastructure as Code、Security as Code、Compliance as Code の実装による開発プロセスの再現性向上により実現します。
- リスクの軽減と可視性の向上:アプリケーション開発とインフラストラクチャのライフサイクルの初期段階でセキュリティゲートを実装し、ヒューマンエラーの可能性を低下させ、監査の懸念を削減しながらセキュリティ、コンプライアンス、予測可能性、再現性を向上させることで実現します。
DevSecOps はアプリケーションのライフサイクルだけに留まらない
DevSecOps 導入の成功への道は、アプリケーション・パイプラインの作成前からすでに始まっています。組織はまず、アプリケーションやインフラストラクチャが、セキュリティツールやセキュリティ機能が組み込まれたソフトウェア上で運用されることを確認する必要があります。さらに、DevSecOps プロセスの重要な要素である環境をより詳細に制御するために、組織全体で一貫した自動化戦略を実装する必要があります。
自動化は、セキュリティを重視したアプリケーションを開発し、開発とインフラストラクチャのライフサイクルの早い段階で DevSecOps プラクティスを導入するのに役立ちます。
ほとんどの組織は、DevSecOps の実装にあたり、アプリケーション・パイプラインに焦点を当てますが、考慮すべき領域は他にもあります。Red Hat と当社のセキュリティ・パートナー・エコシステムは、これらの組織が従来の環境とコンテナ化された環境の両方で DevSecOps プラクティスを使用して、セキュリティを重視したアプリケーションを設計、構築、デプロイ、実行するために役立ちます。
Red Hat は、お客様の DevSecOps 導入がどの段階にあっても適切に支援できます。以下の DevSecOps 成熟度モデルを、現状を判断する参考にしてください。
- 初級:アプリケーションの作成からデプロイまで、すべて手動で行っています。アプリケーション開発、インフラストラクチャと IT 運用、およびセキュリティの各チームはほぼサイロ化されており、チーム間のコラボレーションはほとんどありません。
- 中級:何らかの種類のツールチェーンを標準化することで、組織全体で一貫した方法で自動化を使用して、Infrastructure as Code、Security as Code、Compliance as Code などを実行できます。
- 上級:インフラストラクチャとアプリケーション開発が自動化されており、現在は、開発プロセス、既存の自動化のスケーリング、コンテナ、Kubernetes、パブリッククラウド・サービスなどのテクノロジーを使用した DevSecOpsの 大規模な実装などのプロセスの改善を検討しています。高度なデプロイメント手法、セルフサービス、自動スケーリングを使用して継続的なソフトウェア提供を行うために、動的な環境にアプリケーションを大規模にデプロイしています。
- エキスパート:クラウドネイティブ環境であらゆるものがアプリケーション・プログラミング・インタフェース (API) であるという段階に達しています。サーバーレスやマイクロサービスなどのテクノロジーモデルを評価中であるかすでに使用しており、人工知能と機械学習を利用して、セキュリティテストとアプリケーション開発に関する意思決定を行っています。
Red Hat のサポート内容
当社のオープンソース・ポートフォリオに組み込まれているセキュリティ機能により、開発者、アーキテクト、IT 運用、セキュリティの各チームは、アプリケーション開発とインフラストラクチャのライフサイクルの初期段階で階層化されたセキュリティを実装し、DevSecOps のスタックを簡単に構築できます。これを可能にする要素のいくつかを以下に示します。
DevSecOps の基本的なセキュリティ
Red Hat Enterprise Linux® によって基本的なセキュリティが提供されるため、組織はベアメタル、仮想、コンテナ、およびクラウド環境にわたって一貫して、既存のクラウドネイティブ・アプリケーションを実行できます。Red Hat Enterprise Linux は、重要なセキュリティ分離テクノロジー、強力な暗号化、ID およびアクセス管理、ソフトウェア・サプライチェーンのセキュリティ、DevSecOps ワークフローに必要とされる個別に検証済みのセキュリティ認証を提供します。
Red Hat OpenShift®、Red Hat OpenStack Services on OpenShift®、Red Hat Data Services など、Red Hat Enterprise Linux 上で実行されるオープンソース・テクノロジーは、Red Hat Enterprise Linux が提供する基盤のセキュリティ上のメリットを継承します。
さらに、 Red Hat Application Foundations は業界標準の認証プロトコル、シングルサインオン (SSO)、ID 管理、 ロールベースのアクセス制御 (RBAC) など、すぐに使える広範なアプリケーション・セキュリティ機能を提供します。ハイブリッド環境およびマルチクラウド環境において、セキュリティを念頭に大規模にソフトウェアを開発し、モダナイズできます。
IT 自動化によるワークフローとプロセスの標準化
統合されていない DevSecOps ツール、プラクティス、およびプロセスがあると、ヒューマンエラーの可能性が高まると同時に、コラボレーション、可視性、生産性の妨げとなる場合があります。ライフサイクル運用を自動化すると、一貫性があって反復可能なプロセス、ワークフロー、フレームワークを作成する理想的な機会が得られ、ソフトウェア開発、IT インフラストラクチャ、セキュリティの各チーム間の相互作用が単純化されます。
Red Hat Ansible® Automation Platform は人間が読める単一の言語を使用し、エンタープライズ全体で自動化を導入するために必要なすべてのツール、サービス、トレーニングが含まれています。アプリケーションやセキュリティからネットワーク、インフラストラクチャに至るまで、組織の IT 環境のあらゆる側面でコラボレーション、透明性、一貫性を促進する、統一されたユーザーフレンドリーな自動化基盤を提供します。
イメージ、コンテナ、クラスタ、Kubernetes を使用した大規模な DevSecOps
OpenShift を使用すると、組織はセキュリティを重視したクラウドネイティブ・アプリケーションを大規模に構築、デプロイ、実行、および管理できます。具体的には、OpenShift Platform Plus はコア・プラットフォーム上に構築されており、Red Hat Advanced Cluster Security for Kubernetes、Red Hat Advanced Cluster Management for Kubernetes、Red Hat Quay が含まれています。
これらのテクノロジーにより、組織はセキュリティチェックを継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインに組み込んで、開発者に CI/CD パイプラインから直接脆弱性スキャンとポリシーチェックを提供し、ワークロードと Kubernetes インフラストラクチャを構成ミスやコンプライアンス違反から保護し、ランタイムの脅威の検出と対応を実装できます。
Red Hat Advanced Cluster Security for Kubernetes は、すべての主要なクラウド・プラットフォームおよびハイブリッド・プラットフォームでのコンテナ化されたワークロードの保護に役立ちます。このプラットフォームはフルマネージドの Software as a Service (SaaS) ソリューションとしてデプロイでき、脅威の緩和を支援し、継続的なスキャンと保証を提供し、 Kubernetes インフラストラクチャを保護します。Red Hat Advanced Cluster Security for Kubernetes は、アプリケーションのセキュリティ、保護、管理のために最適化された強力なツール一式を提供する Red Hat® OpenShift® Platform Plus に含まれています。
OpenShift Platform Plus は、フルスタックの自動化されたセキュリティと運用を中心に構築されており、すべての環境で一貫したエクスペリエンスを提供します。その最適化は、ソフトウェア・サプライチェーン全体がセキュリティを重視し、準拠するようにしながら、開発者の生産性と開発プロセスを向上するのに役立ちます。運用、開発、およびセキュリティの各チームは、OpenShift Platform Plus を使用してより効率的に連携し、アイデアを開発からプロダクションに移行して、先進的なクラウドネイティブ・アプリケーション開発を実現できます。
Red Hat OpenShift ビルド、パイプライン、および GitOps (OpenShift に含まれる) は、OpenShift でソースコードビルドとアプリケーション・パッケージの実行に必要なコンポーネントを提供します。また、セキュリティ関連のタスクを CI/CD パイプラインにプラグインするための柔軟なフレームワークも提供します。
Red Hat Application Services は、業界標準のプロトコル (OAuth/OpenID、JWT Tokens など)、シングルサインオン (SSO)、ID 管理、ロールベースのアクセス制御 (RBAC)、クラスタ認証、クラスタ内暗号化など、すぐに使える幅広いアプリケーション・セキュリティ機能を提供します。
Red Hat のセキュリティ・パートナー・エコシステム
当社のセキュリティ・パートナー・エコシステムは、お客様が DevSecOps プラクティスを使用してアプリケーションとインフラストラクチャを保護する機能を拡張および強化するのに役立ちます。当社のポートフォリオとサービスをこのエコシステムと組み合わせることにより、お客様は次のような主要なセキュリティの課題に対処できます。
- コンプライアンスとガバナンス
- ID 管理とアクセス管理
- 脆弱性と構成の管理
- プラットフォーム・セキュリティ
- ネットワーク制御
- データ制御
- セキュリティ制御
- ランタイム分析と保護
- ロギングおよび監視
- 修復
DevSecOps への一歩を踏み出す
Red Hat サービスは、お客様のテクノロジーへの投資を測定可能で有用なビジネス成果に転換できるように支援します。文化、ビジネスプロセスからトレーニングや認定に至るまで、DevSecOps への一歩を踏み出すお手伝いをします。