InfoQ ホームページ Cloud-Security に関するすべてのコンテンツ
-
CloudflareがAPI Shieldを導入
Cloudflareは先頃、API Shieldを導入した。これは、不正なアクションを実行したりデータを盗み出したりするように設計された攻撃からAPIトラフィックを保護する無料のセキュリティツールである。スキーマ検証は現在クローズドベータ版だが、強力なクライアント証明書ベースのIDはすでに一般的に利用可能である。
-
BridgecrewがState of Open Source Terraform Security Reportを発表
クラウドセキュリティを体系化する開発者ファーストのプラットフォームであるBridgecrewは、最近、State of Open Source Terraform Securityレポートを公開した。同社は、オープンソースのInfrastructure-as-Code(IaC)静的分析ツールであるCheckovを利用した。重要な発見の1つは、AWSリソースのプロビジョニングに使用されるモジュールが誤って構成されている可能性が高いということである。
-
Production Identity FrameworkのSPIREがCNCFインキュベーターに
Cloud Native Computing Foundationは、インキュベーションレベルのプロジェクトとしてSPIFFEとSPIREを受け入れた。SPIFFEは、プラットフォームに依存しない暗号化IDを使用してソフトウェアサービスを認証するための標準を定義する。SPIREは、本番環境に対応したSPIFFE APIの実装である。
-
Synkが改良された脆弱性優先順位付け機能をリリース
Snykは、セキュリティ脆弱性の優先順位付けを簡略化する、一連の新機能のリリースを発表した。この中には、特定したイシューを評価してスコアを提供する、同社独自のアルゴリズムが含まれている。このアプローチでは、エクスプロイトの完成度(maturity)を考慮し、影響されたコードがアプリケーション実行を通じて到達可能かどうかを分析することが可能である。
-
悪意を持ったコンテナイメージを直接ホスト上に構築する攻撃手法が明らかに
Aquaのサイバーセキュリティ調査チーム‘Nautilus'が、誤設定されたDocker Daemon APIポートをターゲットにして、攻撃対象のホストコンテナ上にイメージを直接構築し、暗号通貨のマイニングを行うという、新たな攻撃テクニックの存在を確認した。さらなる調査の結果として、Docker Hub内に格納されている23のコンテナイメージのインフラストラクチャから、関連する33万件の悪意のあるイメージがプルされていることも明らかになっている。
-
Google、クラウドプラットフォーム用のConfidential VMをベータ版ローンチ
先日のブログ記事でGoogleは、新タイプの仮想マシンであるConfidential VMを発表した。データの保管中だけでなく、メモリにある間も暗号化されていることを保証する、いわゆるコンフィデンシャルコンピューティングに関わる企業での作業に使用するための仮想マシンだ。
-
脆弱性スキャナTrivyがDockerおよびHarbour内の統合オプションとして利用可能に
Aqua Securityは、オープンソースの脆弱性スキャナであるTrivyが、多くのプラットフォームで統合オプションとして利用できるようになったことを発表した。Trivyは、オペレーティングシステム内の脆弱性と、多くの一般的なアプリケーションの依存関係をスキャンできる。
-
AWSが新しいセキュリティサービスの一般提供を発表:Amazon Detective
最近、Amazon はAmazon Detectiveの一般提供を発表した。AWSのこの新しいセキュリティサービスを使用すると、潜在的なセキュリティ問題や疑わしいアクティビティの根本原因を分析、調査、および迅速に特定できる。
-
AWSオープンソースCloudFormationコンプライアンス分析ツール
AWSは、CloudFormationテンプレートに対してコンプライアンスポリシーを適用するオープンソースのCLIツールであるCloudFormation Guardのプレビューリリースを発表した。 cfn-guardは、ルールを定義するための軽量の宣言型構文を提供する。 リスト、ワイルドカード、正規表現、変数の宣言をサポートし、CloudFormation組み込み関数を使用できる。
-
Mooreの法則55周年
2020年4月は、Intelの創業者のひとりであるGordon Moore氏が、論文"Cramming more components onto integrated circuits"を公開してから55周年になる。50年以上にわたって、Intelとその競合企業は、Mooreの法則を事実とし続けてきた。しかし近年では、チップの最小加工寸法(feature size)を引き下げようという試みが、経済的および物理的な制限によって妨げられるようになったことから、Mooreの法則以降の世界について考えざるを得ない状況になっている。
-
コンプライアンスとカリフォルニア州プライバシ法 - ”帝国の逆襲”
2020年1月1日、カリフォルニア州プライバシ法(California Privacy Act)が施行された。だが、多くの企業が同法に準拠しておらず、法律の長期的な効果については未知数だ。
-
セキュアなIoTプラットフォームのAzure SphereがGAに到達
先日のブログ記事でMicrosoftは、エンドツーエンドIoTセキュリティプラットフォームAzure SphereのGA(General Availability)を発表した。マイクロコントローラユニット(MCU)、Linuxをベースとしたセキュアなオペレーティングシステム(OS)、ソフトウェア・アップデートや新たな脅威の検出などのクラウド・セキュリティサービスの提供、という3つの重要領域にフォーカスしたプラットフォームだ。
-
GitLabにおける剤弱性の防止と対処
GitLab public bungプログラムの公式ローンチから1年経った今、その成果と、GitLabとそのユーザのセキュリティ改善に与えた影響の評価をするべき時だ。InfoQでは、GitLabのシニアアプリケーションセキュリティエンジニアであるJames Ritchey氏から、GitLabのセキュリティ戦略、およびバグ報奨金プログラムが組織に貢献するものについて話を聞くことができた。
-
GatekeeperによるKubernetesポリシの拡張
Kubernetes Policy Controller Gatekeeperの最新リリースでは、CNCFプロジェクトであるOpen Policy Agentをこれまで以上に活用して、ポリシ、制約テンプレートの共有、ポリシ違反に対する監査リソースの宣言を可能にしている。
-
英国政府NCSCによるセキュリティアーキテクチャのアンチパターン
英国政府のNational Cyber Security Centreは先頃、コンピュータシステムを設計する際に避けるべき6つの設計パターンに関する白書を公開した。 この記事では回避すべきアンチパターンと、それらを認知した場合に実行可能なシステム改善策について論じる。