初期のリスク検知では、セキュリティチームがオンプレミスインフラを理解し徹底的に保護するために、環境にツールやエージェントを導入する必要がありました。今日クラウドの利用が拡大する中、エージェントレスのクラウドセキュリティはますます現実的な選択肢となっています。
このブログでは、エージェントレスクラウドセキュリティについて詳しく解説します。御社に最適な選択肢を見つけるお手伝いとして、エージェントレス型 クラウドセキュリティ とエージェントベースのクラウド 脆弱性管理 オプションを比較します。
エージェントレス クラウド セキュリティとは?
エージェントレス セキュリティとは、各リソースにエージェントを配置せずにリソースを保護する手法です。エージェントレスセキュリティソリューションは、多くの場合、エンドポイント上で直接ユーティリティを実行する代わりに、「外部」からエンドポイントを監視およびスキャンします。ネットワーク経由で入手可能なデータを検証し、リソースを制御する構成情報を分析することでこれを実現します。さらに、一部のエージェントレスソリューションはクラウドプロバイダーのAPIと連携し、ワークロードにエージェントをデプロイすることなく、それらのワークロードに関する詳細情報を取得します。
主な特徴:
- エージェントレススキャンは全プラットフォームで動作:エージェントレスクラウドセキュリティによる資産の特定・スキャンにはOS互換性の要求や問題が存在しません。これによりスイッチ、ルーター、その他の接続済みIoTデバイスを、その機能を妨げることなくスキャン可能です。
- 管理コストの削減:エージェントレスクラウドセキュリティシステムは、その移植性によりワークロードに迅速かつ容易に導入できます。管理オーバーヘッドを低減するため、数十万台の仮想マシンを管理する企業にとって非常に有利です。
- スケーラビリティ: エージェントレスクラウドセキュリティは、単一サーバーから大規模データセンターまで容易に拡張可能です。基本的な設定では、通常、スケーラブルで軽量なプロトコルを使用し、クラウド資産とのネットワーク接続を確立することで、包括的なエージェントレスクラウドセキュリティを実現します。
- 環境への悪影響なし: エージェントベースのアプローチとは異なり、エージェントレススキャンは各スキャン時にリソースのスナップショットを取得するため、リソースに変更が加えられません。セキュリティチームがリソースのメンテナンスを行う必要がないため、エージェントレススキャナーによる変更が環境に影響を与えることはありません。エージェントレス深層スキャンが採用するボリュームスナップショット技術により、システムパフォーマンスへの悪影響を防止します。これは、クラウドシステムの計算能力を利用せず、コネクタがAPI経由でデータを読み取り、独立してスキャンを実行するためです。
- ネットワークスキャンのカバレッジ: 多数のエンドポイントを保護しながら、エージェントレスクラウドセキュリティはクラウドネットワーク全体を可視化します。これにより、すべてのホスト資産、接続デバイス、稼働中のアプリケーション、およびそれらの依存関係に対する脆弱性を正確にスキャンすることが可能になります。結果として、継続的に更新され自動化された資産識別とスキャンに死角は存在しません。
エージェントベース vs エージェントレス クラウドセキュリティ
エージェントベースのセキュリティはプル型通信アプローチを採用します。エージェントベースのシステムでは、クライアントが中央サーバーとして機能し、必要に応じてエージェントからデータを要求します。自動化されたプロセスを経て、通常は各システムにエージェントを展開する必要があります。エージェントの設定が完了すると、中央サーバーはステータス更新やセキュリティ関連アクティビティの結果を問い合わせるクエリをエージェントに送信できます。
プッシュベースの通信は、エージェントレスクラウドセキュリティの基盤です。エージェントレスシステムでは、接続されたソフトウェアが定期的にデータをリモートシステムに送信します。この構成の適応性により、エージェントレスのクラウドセキュリティソリューションは、基本的なセキュリティ監視に効果を発揮します。各サブシステムにインストールせずにインフラ全体をスキャンするよう設定可能です。ただし、スキャンとパッチリリースの管理には、中央システムのアクセスが必須です。
現在、エージェントベースとエージェントレスのクラウドセキュリティが併用されているため、どちらを選択すべきか迷うかもしれません。完全なセキュリティを求めるなら、両方を活用すべきです。とはいえ、それぞれの長所と短所を理解することで、どちらをいつ採用すべきか判断の助けとなります。
要約すると、エージェントレス型クラウドセキュリティには以下のような魅力的な特徴があります:
- 迅速な設定と展開:各ホストへの直接アクセスなしにセキュリティスキャンを実行可能。
- 保守コストの削減。
- 高いスケーラビリティと初期段階での可視性の向上。
- 帯域幅が豊富なネットワークに最適。
- アクションを実行するための中央ホストが必要。
エージェントベースシステムがエージェントレス型クラウドセキュリティに対して持つ以下の利点:
- 徹底的なホストスキャンと監視を実現:エージェントはより高度なホストコンポーネントおよびサービススキャンを実行可能。
- フィルタリング基準に基づいてネットワーク接続を制限できるため、ファイアウォールとして機能可能。
- 実行時保護を提供
- 攻撃のブロックや稼働システムへのパッチ適用など、セキュリティ保護策を提供。
- DMZ領域、低帯域幅ネットワーク、またはネットワークにアクセスできない可能性のあるノートPCに最適です。エージェントはネットワーク接続のないコンピュータにもインストール可能です。
エージェントベースとエージェントレスのクラウドセキュリティの長所と短所について理解したところで、インフラをどのように保護するか判断できます。
エージェントレスクラウドセキュリティのメリットとは?
エージェントの使用は摩擦の問題を引き起こしますが、エージェントレスクラウドセキュリティはそれを解消します。簡単に言えば、エージェントレススキャン は、スキャナがユーザーのもとへ来るのではなく、ユーザーのデータがスキャナへ届くという仕組みです。最小限の保守と手作業で済み、環境への影響も少ない。エージェントは計算リソースを消費するため、侵入が少ないほど負荷やアプリケーションへの干渉も軽減される。
エージェントレス型クラウドセキュリティのもう一つの大きな利点は、カバレッジの拡大である。停止中のマシンや短時間稼働する一時的なワークロードなど、クラウド特有の要件に適している。エージェントレスソリューションはこれらの資産を定期的に検査する。その他の利点として、柔軟性の向上、一元化されたインターフェースの効率化、コスト削減が挙げられます。
SentinelOneを選ぶ理由とは?
Singularity™ Cloud Security は、エージェントレスとエージェントベースのクラウドネイティブ保護を組み合わせ、リアルタイムの洞察、脅威の可視化、分析を提供します。その AI 搭載の包括的な CNAPP は、独自の Offensive Security Engine™ と、環境内で発生した脅威を軽減するランタイムソリューションにより、クラウドセキュリティを進化させます。SentinelOne Singularity™ Data Lakeは、ネイティブおよびサードパーティのセキュリティデータを統合し、AIによる洞察と効果的なインシデント対応を実現します。Singularity Cloud Securityは、ファイルベースのマルウェアやゼロデイ攻撃に対する多層防御を提供します。SentinelOneはクラウドストレージの完全なインベントリを容易に取得し、ポリシーベースの保護を適用します。開発者はハイブリッドマルチクラウド環境を保護し、一元的な可視性を獲得。AWS、GCP、Azure、DigitalOceanプラットフォーム(プライベートクラウドを含む)を容易に統合できます。
SentinelOneはファイル単位でミリ秒単位のスキャンを実現し、自動スケーラブルかつパフォーマンス重視の保護を提供。さらにクラウドVM、サーバー、コンテナ、Kubernetesクラスターの保護、検知、対応を一元化します。ユーザーは静的検知と行動検知を組み合わせて、パブリッククラウドとプライベートクラウドの攻撃対象領域に対する未知の脅威を無力化できます。SentinelOneは完全にユーザー空間で動作し、eBPFアーキテクチャに基づいて構築されており、14以上のLinuxディストリビューション、20年分のWindowsサーバー、3つのコンテナランタイム、Kubernetesをサポートしています。
SentinelOneが提供するその他の機能は以下の通りです:
- 自動化されたStoryline™攻撃可視化とMITRE ATT&CK
- スケーラブルなフォレンジックアーティファクト収集
- ビルド時のコンテキスト分析、クラウドメタデータ、Singularityマーケットプレイス統合
- HIPAA、CIS、NIST、ISO 27001など多数の規制に対応したシークレットスキャンとマルチクラウドコンプライアンスサポート
- DevOpsに優しいIaCプロビジョニングと、CWPPエージェントの自動デプロイを実現します。
- Snyk 統合
エージェントレス クラウド セキュリティ FAQ
エージェントレス クラウド セキュリティは、各ホストにソフトウェア エージェントをインストールすることなく、クラウド環境を監視および保護します。クラウド プロバイダーの API、ログ、スナップショットベースの手法を使用して、構成データと実行時データを収集します。メタデータとファイルシステムのスナップショットを取得することで、ワークロードに触れることなく設定ミスや脆弱性を発見し、セットアップを迅速化するとともに、サーバーやコンテナへのパフォーマンスへの影響を軽減します
はい。エージェントレスツールはサーバーやVM上でプロセスを実行しないため、追加のCPUやメモリ負荷が発生しません。API、ログ、または読み取り専用スナップショットを介してスキャンを行うため、エンドポイントの変更やソフトウェア更新が不要です。エージェントベースのソリューションはより深い実行時可視性を提供しますが、システムを遅くしたり継続的なメンテナンスを必要とする場合があります。一方、エージェントレスはワークロードに手を加えず、管理を簡素化します。
エージェントレスツールには、読み取り専用API認証情報またはスコープ付き権限を持つサービスロールが必要です。例えば、リソースのリスト表示、構成の読み取り、一時スナップショットの作成などです。Azureでは、「VMスキャナーオペレーター」ロールがディスク読み取りとスナップショット作成権限を付与します。
AWSスキャンコネクタにはEC2説明とスナップショット権限が必要です。Google Cloudでは、アウトオブバンドスキャンにcompute.disks.createSnapshotおよびcompute.instances.getロールが必要です。
ほとんどのエージェントレスソリューションは、各プロバイダーのネイティブAPIを活用することで、AWS、Azure、GCPのすべてで動作します。これら3つの環境すべてでリソースメタデータを取得し、ディスクスナップショットを取得します。一部のベンダーは、特定のプラットフォームAPIを活用することでKubernetesクラスター、コンテナレジストリ、SaaSアプリケーションへのサポートを拡張し、マルチクラウド環境全体で一貫したカバレッジを提供しています
スキャンは通常、スケジュールされたポーリング間隔で実行されます。APIベースのスキャンではデフォルトで4時間ごとが一般的ですが、環境に合わせて調整可能です。イベント駆動型スキャンはリソース変更時にトリガーされ、ほぼリアルタイムのカバー率を実現します。
ただし、エージェントレスツールはライブプロセスやネットワーク監視を提供しません。継続的な実行時可視性ではなく、スキャン時にスナップショットやAPIデータを取得します
エージェントレスセキュリティは、エージェントをインストールできない環境(不変インフラストラクチャ、バーストスケールの仮想マシン、IoTデバイス、サードパーティ管理システムなど)で真価を発揮します。新規クラウドアカウントの迅速なリスク評価、ベースライン状態チェック、短命なワークロードやOSアクセスが不十分なワークロードのカバーに最適です。
また、コンプライアンスの強制やマルチクラウド環境のスキャンを、各ホストに触れることなく実施するためにも活用されています。
エンドポイントソフトウェアが不要なため、迅速な導入が可能です。可視性は、オンザフライで起動されたリソースを含むすべてのリソースに及びます。管理上のオーバーヘッドを削減し、本番システムへのパフォーマンスへの影響を回避します。APIとスナップショットを活用することで、エージェントベースのモデルと比較して、広範なカバレッジ、即時の設定ミスアラート、よりシンプルなメンテナンスを提供します。
エージェントレス方式では、稼働中のプロセスの動作、ネットワーク接続、メモリ常駐型脅威を検出できません。実行時にのみ現れるファイルレス攻撃やゼロデイ攻撃を見逃す可能性があります。
検出範囲はAPIの可用性と権限にも依存します。制限されたAPIを持つリソースはスキャンされません。一時ストレージボリュームや暗号化ディスクは、追加設定がない限りスキップされる可能性があります。