CWPP【Cloud Workload Protection Platform】
CWPPとは?
仮想化ソフトによる仮想マシン(VM)、コンテナ、サーバレスなどクラウド上で展開される様々なシステム環境を「ワークロード」(workload)という。CWPPはクラウド上に展開されるワークロードを対象に、開発時や稼働時(ランタイム)にシステムを監視して様々なサイバー攻撃から防御する。
特徴的な仕組みの一つが、VMやコンテナイメージへの組み込みによる自動展開である。CWPPのエージェントをイメージに含めておくことで、新たなワークロードが起動する際にセキュリティ機能が自動的に有効化される。動的にスケールアウトするクラウド環境においても保護の漏れが生じにくい構成を実現できる。
主な保護機能として、ソフトウェアの脆弱性スキャン、マルウェア検知、クラウド設定の不備やポリシー違反の検知、コードや設定ファイルに混入したAPIキーやパスワードなどのシークレット漏洩の検知などがある。製品によっては、マイクロセグメンテーションによるワークロード間の通信制御、侵入検知および防止(IDS/IPS)、アプリケーションへのアクセス制御、メモリ保護といった機能も提供される。
CI/CDパイプラインとの統合に対応する製品が増えており、ビルド時点でのイメージスキャンによってランタイムに問題を持ち込まない「シフトレフト」のアプローチを実践できる。複数のパブリッククラウドを併用するマルチクラウド環境でも単一のコンソールから管理でき、大規模システムに導入しても効率的に管理できる。
関連するクラウドセキュリティ製品に「CSPM」(Cloud Security Posture Management)があるが、CSPMがクラウドアカウント全体の設定・構成の適切さを管理するのに対し、CWPPは個々のワークロードそのものを保護する点で役割が異なる。両者を組み合わせた統合プラットフォームは「CNAPP」(Cloud Native Application Protection Platform)と呼ばれ、包括的なクラウドセキュリティ対策として注目されている。
共有ボタンをタップ