SecOps

Alibaba Cloud Security Operations (SecOps) ソリューションできめ細かなセキュリティ制御を実現します。

概要

Alibaba Cloud はアプリケーションのデプロイと運用において「最小権限」の原則で SecOps を支援します。Secret Management サービスでパスワードなどの機密データを保管し、Policy as Code アプローチでコードによる権限ルールの定義と管理を行い、ゼロトラストできめ細かなサービスアクセス認可を実現します。

Secret Management

パスワードなどの機密データは通常シークレットファイルに保存されます。Secret Manager は Key Management Service (KMS) に保存されたシークレットファイルを読み取り、Kubernetes クラスターにコピーできます。Secret Manager でシークレットファイルの保存、管理、定期的なローテーションを行い、機密データのセキュリティを強化できます。

Policy Governance

リソースのデプロイ時に、OPA と Gatekeeper のルールテンプレートで制限を設定・有効化し、高いセキュリティ要件を満たせます。たとえば、クラスターの特定の名前空間をリソースのデプロイ先に指定し、他の名前空間へのデプロイを禁止できます。

Open Policy Agent (OPA)

OPA はクラウドネイティブ環境向けのポリシーベース制御を備えた統合ツールセットおよびフレームワークです。ポリシーをサービスコードから分離する Policy as Code アプローチを採用しており、可用性やパフォーマンスを損なうことなくポリシーのリリース、分析、レビューを行えます。

Gatekeeper

Gatekeeper は Kubernetes でホストされるクラウドネイティブ環境向けのポリシーエンジンです。Kubernetes クラスターで OPA が実行するポリシーの管理と適用に使用できます。

ゼロトラスト

Service Mesh (ASM) のきめ細かな認可でサービスアクセスを制御し、セキュリティをさらに強化できます。たとえば、バックグラウンド管理を実行している名前空間のアプリケーションが他の名前空間のアプリケーションにアクセスすることを制限したり、特定の名前空間のアプリケーションによるデータベースへのアクセスを制限したり、アプリケーション間アクセスに対する mTLS ルールの準拠を設定したりできます。

認可ポリシー

Service Mesh (ASM) のきめ細かな認可でサービスアクセスを制御し、セキュリティをさらに強化できます。たとえば、バックグラウンド管理を実行している名前空間のアプリケーションが他の名前空間のアプリケーションにアクセスすることを制限したり、特定の名前空間のアプリケーションによるデータベースへのアクセスを制限したり、アプリケーション間アクセスに対する mTLS ルールの準拠を設定したりできます。

Mutual Transport Layer Security (mTLS)

Service Mesh (ASM) でグローバルな mTLS 設定または名前空間ごとの mTLS 設定を行い、mTLS の厳格な適用を選択するか、mTLS を無効にして、ゼロトラストポリシーのニーズに合わせた相互認証を柔軟に設定できます。

ソリューションのハイライト

  • パブリッククラウドコンテナプラットフォームの Leader

    Alibaba Cloud のフルスタッククラウドネイティブ基盤と、The Forrester Wave™ でも認められた実績をもとに、グローバル市場向けのコンテナアプリケーション開発と運用保守を加速させます。

  • ポリシーベースのセキュリティ制御

    Container Service for Kubernetes (ACK) に用意された 30 以上の OPA テンプレートで、クラウドネイティブ環境に潜む一般的なセキュリティリスクに対応し、ポリシーベースのセキュリティ制御を簡素化します。

  • きめ細かなアクセス管理

    RAM Roles for Service Accounts (RRSA) を利用して、データベース、インスタンス、Key Management Service (KMS) のキーファイルなどのリソースに対し、ユーザーベースのアクセス制御を実装します。

  • ゼロトラスト対応

    ASM のグラフィカルインターフェースまたは YAML 設定ファイルを使用して、インスタンス、名前空間、Web サイトなどに mTLS をはじめとする認可ポリシーをカスタマイズし、ゼロトラスト認可ポリシーを実装します。

Alibaba Cloud SecOps の詳細を見る

営業に連絡

おすすめプロダクト

Alibaba Cloud Container Service for Kubernetes (ACK)

Kubernetes ベースのサービスで、コンテナ化されたアプリケーションをクラウド上で実行し、企業の高い効率性を実現します。

  • セキュリティと管理
  • 使いやすさ
  • 高効率と高信頼性

Alibaba Cloud Service Mesh

マイクロサービスアプリケーションのトラフィックを統合的に管理するフルマネージドプラットフォームです。

  • 統合トラフィック管理
  • エンドツーエンドのオブザーバビリティ
  • きめ細かなトラフィックルーティング

Container Registry

コンテナイメージのライフサイクル管理を提供するセキュアなイメージホスティングプラットフォームです。

  • マルチリージョンイメージリポジトリ
  • イメージセキュリティスキャン
  • 安定したサービス構築

Application Real-Time Monitoring Service

Application Performance Management (APM) 向けのエンドツーエンドモニタリングサービスです。

  • アプリケーション性能と異常モニタリング
  • ユーザー体験のフロントエンドモニタリング
  • アラームとレポートの統合基盤

Security Center

セキュリティ脅威をリアルタイムで検知、分析、通知する統合セキュリティ管理システムです。

  • 高性能な技術アーキテクチャ
  • セキュリティのベストプラクティス 10 年の実績
  • 簡素化された資産運用管理

Key Management Service

安全でコンプライアンスに準拠した鍵管理および暗号化サービスにより、機密データ資産を暗号化して保護します。

  • 鍵管理および暗号化サービス
  • 統合クラウドサービスのデータ暗号化
  • カスタム暗号化とデジタル署名

セキュリティとコンプライアンス

世界各地の主要な法域において、安定・信頼・安全・コンプライアンスに準拠したクラウドコンピューティングインフラサービスの提供に努めています。
詳細を見る
  • CSA STAR
  • ISO 27001
  • SOC2 Type II Report
  • C5
  • MLPS 2.0
  • MTCS

関連リソース

ブログ

クラウドネイティブ運用保守技術:ASM でゼロトラストと OPA によりアプリケーションセキュリティを強化

この記事では、ゼロトラストの概念と Service Mesh (ASM) でアプリケーションセキュリティを強化する方法を説明します。

ホワイトペーパー

Alibaba のダブルイレブン・グローバルショッピングフェスティバルを支えるクラウドネイティブ技術を紹介

Alibaba Cloud のクラウドネイティブ技術が 2020 年ダブルイレブン・グローバルショッピングフェスティバルをどのように支えたかをご紹介します。

ウェビナー

Kubernetes で大規模アプリケーションのモダナイゼーションを実現

このウェビナーでは、Alibaba Cloud がコンテナ化されたアプリケーションをクラウドで実行し、企業の高い効率性を確保する方法を解説します。

Alibaba Cloud ソリューションを始める

Alibaba Cloud の実力をご体験ください。

営業に連絡