Blog Home

JFrog XrayとAWS Security Hubのインテグレーション

By Alex Hung, Sr. Software Developer & Daniel Miakotkin, Software Engineer

4 min read

SecOpsは警戒を必要としますが、可視化も必要です。JFrogの最新のXrayとAWS Security Hubのインテグレーションにより、検出された脆弱性を確認するだけでなく、迅速に対処できるようになります。

AWS Security Hubは、AWSユーザーが利用できるクラウドセキュリティ状態管理サービスです。セキュリティのベストプラクティスのチェック、通知の集約、自動修復のサポートといった、AWSアカウント全体のセキュリティ管理を一元的に行えます。

今回、Xrayのユニバーサルソフトウェア構成分析ソフトウェア構成分析(SCA)とAWS Security Hubの連携により、ライセンスポリシー違反やセキュリティ脆弱性を収集、分析、対応が可能になりました。これにより、Xrayの脅威に対する警戒をクラウドの全体的なセキュリティ状態にインテグレーションできます。

JFrog AWS Security Hub Diagram

インテグレーションされたクラウドセキュリティ状態

このインテグレーションにより、JFrog XrayをDevSecOpsに活用しているAWSのお客様は以下のことを実現できます。

    • AWS Security Hubを通じて、脆弱性とコンプライアンスの脅威を可視化
    • JFrogセキュリティリサーチチームの拡張した脆弱性データで脅威を評価
    • クラウドセキュリティ状態の一部として脆弱性をコンテキスト化し、優先順位付け
    • SOARワークフローを自動化し平均修復時間(MTTR – mean time to remediation)を短縮

    Xrayでルール、ポリシー、ウォッチの設定時に、監視したいArtifactoryリポジトリと、どのような脅威に対して通知するかを選択します。XrayをAWS Security Hubとインテグレーションすることで、これらの通知はクラウドセキュリティ管理サービスに送信し、そこで評価と修復が行われます。

    JFrog Platformのデプロイがどこで実行されていても(AWS上か他のインフラか)、またSaaSまたはセルフホスティングのJFrogクラウドまたはオンプレミアアカウントでも、XrayとAWS Security Hubをインテグレーションできます。そのため、本番環境のリポジトリが別の場所でホストされていても、AWS Security HubでXrayからの通知を確認できます。

    簡単なインストール

    JFrog XrayとAWS Security Hubのインテグレーションは、AWS Security Hub Integrations コンソールから利用できます。AWSアカウントに関連付けられたAWS Security Hubコンソールからインテグレーション可能で、そこには詳細なインストール手順も記載されています。

    インテグレーションを容易にするため、AWS Serverless Application Repositoryに公開します。 AWSアカウントにインテグレーションをデプロイする際、アプリケーションの設定(デプロイメント環境、API認証トークンなど)を入力し、インテグレーションを構成する必要があります。

    AWSアカウントにインテグレーションをインストール後、JFrog Platform for AWS Security Hubに新しいWebhookを追加する必要があります。次に、違反通知をSecurity Hubに送信したいXrayでのポリシー毎に、そのポリシールールを自動アクションとしてTrigger Webhookに設定し、作成したSecurity HubのWebhookを選択します。

    ゼロデイのクラウドセキュリティ

    AWS Security Hubは脅威への迅速な対応により、AWSクラウドアカウントで実行されているサービスの安全性を確保します。

    JFrog XrayはArtifactoryを通じて構築およびプロモートするマイクロサービスアプリをデプロイする前に、すべての既知の重要な脆弱性がないことを確認できます。CIパイプラインでは、完全に検証されたアプリを「本番」リポジトリにプロモートしてAWSのクラスタのようなインフラに安全にデプロイするのが一般的です。

    しかし、AWSでの運用に対する最大の脅威の1つはゼロデイ問題(アプリがデプロイされた後に検出される脆弱性)によるものです。また、最近のLog4jのゼロデイ問題はその1つで、広く利用されているオープンソースコンポーネントに新たに記録された重大なCVEで即時の修正が必要でした。

    XrayとAWS Security Hubのインテグレーションはその一助となります。Xrayを設定することで、本番環境を継続的にスキャンし、現在デプロイ中のアプリに適用される新しいCVEを明示します。

    XrayがAWS Security Hubにアラートが送信された場合、クラウドセキュリティ状態マネージャは担当者に通知し、新たに検出された脆弱性のあるAWSに展開されたサービスの全インスタンスを終了、制限、ロールバックするなど、自動修正対応を実行できます。

    条件が整えば、Xrayはゼロデイバグの平均修復時間(MTTR)をゼロ時間まで短縮できます。

    JFrogでより良く

    AWS Security Hubの新しいインテグレーションにより、アプリケーションの新たなセキュリティ脅威に対する警戒をクラウドセキュリティ管理の一部にできます。Xrayを活用した脆弱性とライセンス違反の検出はAWSクラウドのセキュリティを監督するツールで可視化されます。

    AWS Security Hub内でJFrogの拡張された脆弱性データのメリットをすぐに享受できます。また、Xrayへのリンクも用意されており、JFrogが強化した問題に対するインテリジェンスをさらに深く掘り下げることができ、コンテキスト分析で脆弱性にリスクがあるかを判断することで時間を削減できます。

    JFrog Xrayの活用により、クラウド運用の監視がさらに強力になります。Security Hubは、脅威をブロックまたは軽減するために手動または自動で迅速に対応し、AWSクラウドでの運用を保護できます。
    さらなる詳細は、ソリューションエンジニアにXrayのデモセッションをお気軽にご依頼ください。

Popular Tags