概要
Alibaba Cloud はアプリケーションのデプロイと運用において「最小権限」の原則で SecOps を支援します。Secret Management サービスでパスワードなどの機密データを保管し、Policy as Code アプローチでコードによる権限ルールの定義と管理を行い、ゼロトラストできめ細かなサービスアクセス認可を実現します。
Secret Management
パスワードなどの機密データは通常シークレットファイルに保存されます。Secret Manager は Key Management Service (KMS) に保存されたシークレットファイルを読み取り、Kubernetes クラスターにコピーできます。Secret Manager でシークレットファイルの保存、管理、定期的なローテーションを行い、機密データのセキュリティを強化できます。
Policy Governance
リソースのデプロイ時に、OPA と Gatekeeper のルールテンプレートで制限を設定・有効化し、高いセキュリティ要件を満たせます。たとえば、クラスターの特定の名前空間をリソースのデプロイ先に指定し、他の名前空間へのデプロイを禁止できます。
Open Policy Agent (OPA)
OPA はクラウドネイティブ環境向けのポリシーベース制御を備えた統合ツールセットおよびフレームワークです。ポリシーをサービスコードから分離する Policy as Code アプローチを採用しており、可用性やパフォーマンスを損なうことなくポリシーのリリース、分析、レビューを行えます。
Gatekeeper
Gatekeeper は Kubernetes でホストされるクラウドネイティブ環境向けのポリシーエンジンです。Kubernetes クラスターで OPA が実行するポリシーの管理と適用に使用できます。
ゼロトラスト
Service Mesh (ASM) のきめ細かな認可でサービスアクセスを制御し、セキュリティをさらに強化できます。たとえば、バックグラウンド管理を実行している名前空間のアプリケーションが他の名前空間のアプリケーションにアクセスすることを制限したり、特定の名前空間のアプリケーションによるデータベースへのアクセスを制限したり、アプリケーション間アクセスに対する mTLS ルールの準拠を設定したりできます。
認可ポリシー
Service Mesh (ASM) のきめ細かな認可でサービスアクセスを制御し、セキュリティをさらに強化できます。たとえば、バックグラウンド管理を実行している名前空間のアプリケーションが他の名前空間のアプリケーションにアクセスすることを制限したり、特定の名前空間のアプリケーションによるデータベースへのアクセスを制限したり、アプリケーション間アクセスに対する mTLS ルールの準拠を設定したりできます。
Mutual Transport Layer Security (mTLS)
Service Mesh (ASM) でグローバルな mTLS 設定または名前空間ごとの mTLS 設定を行い、mTLS の厳格な適用を選択するか、mTLS を無効にして、ゼロトラストポリシーのニーズに合わせた相互認証を柔軟に設定できます。
ソリューションのハイライト
-
パブリッククラウドコンテナプラットフォームの Leader
Alibaba Cloud のフルスタッククラウドネイティブ基盤と、The Forrester Wave™ でも認められた実績をもとに、グローバル市場向けのコンテナアプリケーション開発と運用保守を加速させます。
-
ポリシーベースのセキュリティ制御
Container Service for Kubernetes (ACK) に用意された 30 以上の OPA テンプレートで、クラウドネイティブ環境に潜む一般的なセキュリティリスクに対応し、ポリシーベースのセキュリティ制御を簡素化します。
-
きめ細かなアクセス管理
RAM Roles for Service Accounts (RRSA) を利用して、データベース、インスタンス、Key Management Service (KMS) のキーファイルなどのリソースに対し、ユーザーベースのアクセス制御を実装します。
-
ゼロトラスト対応
ASM のグラフィカルインターフェースまたは YAML 設定ファイルを使用して、インスタンス、名前空間、Web サイトなどに mTLS をはじめとする認可ポリシーをカスタマイズし、ゼロトラスト認可ポリシーを実装します。
Alibaba Cloud SecOps の詳細を見る
営業に連絡おすすめプロダクト
-
CSA STAR -
ISO 27001 -
SOC2 Type II Report -
C5 -
MLPS 2.0 -
MTCS
関連リソース
ブログ
クラウドネイティブ運用保守技術:ASM でゼロトラストと OPA によりアプリケーションセキュリティを強化
この記事では、ゼロトラストの概念と Service Mesh (ASM) でアプリケーションセキュリティを強化する方法を説明します。
ホワイトペーパー
Alibaba のダブルイレブン・グローバルショッピングフェスティバルを支えるクラウドネイティブ技術を紹介
Alibaba Cloud のクラウドネイティブ技術が 2020 年ダブルイレブン・グローバルショッピングフェスティバルをどのように支えたかをご紹介します。
ウェビナー
Kubernetes で大規模アプリケーションのモダナイゼーションを実現
このウェビナーでは、Alibaba Cloud がコンテナ化されたアプリケーションをクラウドで実行し、企業の高い効率性を確保する方法を解説します。
