JFrog Xray と AWS Security Hub のインテグレーション

SecOps は警戒を必要としますが、可視化も必要です。JFrog の最新の Xray と AWS Security Hub のインテグレーションにより、検出された脆弱性を確認するだけでなく、迅速に対処できるようになります。

AWS Security Hub は、AWS ユーザーが利用できるクラウド セキュリティ状態管理サービスです。セキュリティのベスト プラクティスのチェック、通知の集約、自動修復のサポートといった、AWS アカウント全体のセキュリティ管理を一元的に行えます。

今回、Xray のユニバーサル ソフトウェア構成分析 (SCA) と AWS Security Hub の連携により、ライセンス ポリシー違反やセキュリティ脆弱性を収集、分析、対応が可能になりました。これにより、Xray の脅威に対する警戒をクラウドの全体的なセキュリティ状態にインテグレーションできます。

インテグレーションされたクラウド セキュリティ状態

このインテグレーションにより、JFrog Xray を DevSecOps に活用している AWS のお客様は以下のことを実現できます。

  • AWS Security Hub を通じて、脆弱性とコンプライアンスの脅威を可視化
  • JFrog セキュリティ リサーチ チームの拡張した脆弱性データで脅威を評価
  • クラウド セキュリティ状態の一部として脆弱性をコンテキスト化し、優先順位付け
  • SOAR ワークフローを自動化し平均修復時間 (MTTR – mean time to remediation) を短縮
  • Xray でルール、ポリシー、ウォッチの設定時に、監視したい Artifactory リポジトリと、どのような脅威に対して通知するかを選択します。XrayをAWS Security Hub とインテグレーションすることで、これらの通知はクラウドセキュリティ管理サービスに送信し、そこで評価と修復が行われます。

簡単なインストール

JFrog XrayとAWS Security Hub のインテグレーションは、AWS Security Hub Integrations コンソールから利用できます。AWS アカウントに関連付けられた AWS Security Hub コンソールからインテグレーション可能で、そこには詳細なインストール手順も記載されています。

インテグレーションを容易にするため、AWS Serverless Application Repository に公開します。 AWS アカウントにインテグレーションをデプロイする際、アプリケーションの設定(デプロイメント環境、API 認証トークンなど)を入力し、インテグレーションを構成する必要があります。

AWS アカウントにインテグレーションをインストール後、JFrog Platform for AWS Security Hub に新しい Webhook を追加する必要があります。次に、違反通知を Security Hub に送信したい Xray でのポリシー毎に、そのポリシールールを自動アクションとして Trigger Webhook に設定し、作成した Security Hub の Webhook を選択します。

ゼロデイのクラウド セキュリティ

AWS Security Hub は脅威への迅速な対応により、AWS クラウド アカウントで実行されているサービスの安全性を確保します。

JFrog Xray は Artifactory を通じて構築およびプロモートするマイクロサービスアプリをデプロイする前に、すべての既知の重要な脆弱性がないことを確認できます。CI パイプラインでは、完全に検証されたアプリを 「本番」 リポジトリにプロモートして AWS のクラスタのようなインフラに安全にデプロイするのが一般的です。

しかし、AWS での運用に対する最大の脅威の 1 つはゼロデイ問題 (アプリがデプロイされた後に検出される脆弱性) によるものです。また、最近の Log4j のゼロデイ問題はその 1 つで、広く利用されているオープンソース コンポーネントに新たに記録された重大な CVE で即時の修正が必要でした。

Xray と AWS Security Hub のインテグレーションはその一助となります。Xray を設定することで、本番環境を継続的にスキャンし、現在デプロイ中のアプリに適用される新しいCVEを明示します。

Xray が AWS Security Hub にアラートが送信された場合、クラウドセキュリティ状態マネージャは担当者に通知し、新たに検出された脆弱性のある AWS に展開されたサービスの全インスタンスを終了、制限、ロールバックするなど、自動修正対応を実行できます。

条件が整えば、Xray 2 はゼロデイバグの平均修復時間 (MTTR) をゼロ時間まで短縮できます。

JFrog Platform

JFrog Platform はバイナリを管理する DevOps プラットフォームで、ビルドから本番環境までのバイナリフローをコントロールします。JFrog Platform に含まれる JFrog Xray はユニバーサルなセキュリティ脆弱性とコンプライアンスの分析し、DevOps パイプライン全体の継続的なガバナンスを可能にする Artifactory とネイティブで統合します。

JFrog Platform に関する詳細はこちら。


*本記事は、JFrog Japan 株式会社が提供している以下の記事から抜粋・転載したものです。 JFrog Xray と AWS Security Hub のインテグレーション