AWS パートナーの事例: Verizon

Verizon Communications Inc. は米国第一級のワイヤレスネットワークを運営し、また全米での純ファイバーネットワークも運営して、世界中のビジネスに統合的ソリューションを提供しています。従業員数は 163,400 で、2016 年には収益 1,260 億 USD を上げました。

Verizon は世界最大級の通信テクノロジープロバイダーです。この企業では毎日、何百万もの人々、企業、コミュニティーを、その受賞歴に輝くネットワークでつなぎ、対話的エンターテインメント、デジタルメディア、モノのインターネット、ブロードバンドサービスでの革新を可能にしています。

Verizon は世界一流企業の多くに対するテクノロジープロバイダーとして、クラウドコンピューティングの利点を熟知しています。アマゾン ウェブ サービス (AWS) へのビジネスアプリケーションの移行をサポートするため、Verizon ではそのセキュリティーバリデーションプロセスを、セキュリティー担当者による手作業を離れて、スケーリングする必要がありました。Verizon の クラウドセキュリティー統合サービス担当役員の Chris Durand は、効果的なソリューションには次の様な考慮事項があったと言います:

共有物理環境 — オンプレミスアプリケーションでは、Verizon はそのデータセンターで他に何が実行されているかを把握しています。クラウドでは、Durand 氏が言うには、「物理的な壁はなく、弊社のアプリケーションは競合他社のアプリケーションと同じサーバー上で実行されているかもしれません。」

様々なデプロイモデル — オンプレミスモデルではハードウェアはハードウェア担当者がでデプロイ、オペレーティングシステムは別の担当者、と言った具合です。クラウドでは、デプロイについてのこれら 2 つの分野で専門家ではない開発者がハードウェアとオペレーティングシステムをプロビジョニングすることになり、セキュリティー設定の確認が必要になってきます。

オートメーションへの依存 — クラウドでは、デプロイはオートメーションで行われます。デプロイプロセスと統合し、Verizon が AWS に移行しようとするアプリケーションをサポートするには、オートメーションによる方法でのセキュリティーにも対処する必要があります。

Durand 氏が続けます「弊社では予防的な検出と自動改善などの多くのレベルのコントロールを含む深い防御のアプローチを採用しています。最初の予防的な部分では良くないセキュリティー設定がそもそもデプロイされないようにします。」 

Verizon の新たな Development-Security-Operations Pipeline (DSOP) はひとつの予防的手法で、Verizon ではこれを用いてパブリッククラウドにデプロイされたアプリケーションがクラウドアプリケーションに対するすべてのセキュリティーポリシーを満たすようにしています。DSOP 自身も AWS で実行されており、これは AWS パートナーネットワーク (APN) のプレミアコンサルティングパートナーである HOSTING の一部門である Stelligent との協力の下に構築されました。

Verizon が AWS CloudFormation を採用していることにより、開発者とシステム管理者はコードを用いてスタックとよばれる関連の AWS リソース群をプロビジョニング、更新、管理できます。DSOP はセキュリティーバリデーションの必須要素をコードとして表すことによって AWS CloudFormation 上で構築され、それによってセキュリティーポリシーとのコンプライアンスを確保するための自動的な方法を促進しています。

Durand 氏「弊社ではインフラストラクチャはコードであることを前提に、その開発はコードとして取り扱うべきだと考えました。従って次の段階はコードとしてのセキュリティーを、開発プロセスへの組み込みを自動化し、加速する手段として扱うことです。こうすることによってのみ、クラウドソリューションを開発プロセスにもたらすのに必要なすべての関係者を統合して、DevOps 風土の求める目標を真に達成することができるのです。セキュリティーは次のフロンティアです。」

DSOP はセキュリティーバリデーションプロセスを 3 つの別個の段階に分割します。アプリケーションが第 1 段階に合格しなければ、第 2、第 3 の段階には進みません。段階は次の通りです:  

第 1 段階 — CloudFormation のテンプレートの静的分析。 パイプラインの第 1 段階では、DSOP は Stelligent からのオープンソースツールである CFN_NAG を用いて、CloudFormation テンプレートの静的分析を行います。このツールは Stelligent の書いたルールを用いて暗号化、アクセスのロギング、セキュリティーグループ、Identity and Access Management に関連する設定を確認します。CFN_NAG の結果には、セキュリティールールに違反するリソースを特定する論理的リソースと、どのルールに違反したかについての説明があります。CFN_NAG についての詳細は、この Stelligent ブログ記事をご覧ください。

第 2 段階 — デプロイされた CloudFormation スタックの分析。 パイプラインの第 2 段階では、DSOP は CloudFormation テンプレートと用いてアプリケーションをセキュリティーバリデーションのために特に作られたテスト環境にデプロイします。DSOP はその後 AWS Config サービスを、Stelligent が CloudFormation スタックの一部として作成した AWS リソースのセキュリティー設定を査定、監査、評価するルールと共に用います。

第 3 段階 — 脆弱性スキャン。 パイプラインの第 3 段階では、DSOP はサードパーティー製品を用いて、第 1、第 2 段階では捉えられなかった脆弱性についてスキャンします。こうした脆弱性にはインフラストラクチャツールの脆弱なバージョンや、オペレーティングシステムで欠けているパッチなどがあります。脆弱性スキャンの後、テスト環境は破棄されます。

パイプラインの結果はデジタル署名で署名されます。これは当社内の自動デプロイパイプライン (Red Hat Ansible に基づく) 内のエージェントが確認して、アプリケーションが本番にデプロイできるかどうかを決定します。パイプラインの各段階は、開発チームが個別に実行することも可能です。

Durand 氏「ほとんどすべてのツールでは、ツールがセキュリティー設定をバリデーションできるためには AWS でリソースをインスタンシエートする必要があります。Stelligent の CFN_NAG ツールは、CREATE_STACK の実行前に CloudFormation テンプレートを読み込み、カスタマイズできるセキュリティーポリシーへの準拠性を評価することで、この課題を解決しています。CFN_NAG は開発者によって個別に使うこともできますので、例えばロックされていないポートやパブリックリード ACL のあるコードバケットなど、良くないコーディングを初期段階で発見できます。

DSOP ソリューションアーキテクチャー

DSOP は Amazon Elastic Compute Cloud (Amazon EC2) 内で、ログキャプチャその他のストレージタスクに使われる Amazon Simple Storage Service (Amazon S3) と共に Jenkins パイプラインとして実行されます。DSOP はまたスタックのデプロイ (それに CFN_NAG サービスそのもののデプロイに) Amazon CloudFormation を、動的コンプライアンスチェックに AWS Config を、そしてカスタム設定ルールに AWS Lambda を利用します。

Verizon の DSOP は Stelligent の支援によって構築され、Verizon はその AWS インフラストラクチャを本番デプロイ前に適切なセキュリティー設定ができているかどうかを自動的に確認する手段となります。具体的な利点には次があります:

セキュリティーポリシーに対する完全なコンプライアンス。DSOP は、AWS クラウドにデプロイしたアプリケーションがすべてのセキュリティー設定ルールを満たすようにする一貫性のある方法を Verizon に与え、この方法によって Verizon は本番でのデプロイ前にセキュリティーリスクとなり得るものを捉えることができるようになります。Durand 氏「DSOP によって、セキュリティーポリシーに 100 パーセントのコンプライアンスを達成できることが実証できました。さらに、DSOP ではアプリケーションのセキュリティー設定を非本番環境で確認でき、これはデプロイ後に問題を見つけるよりもリソースの点ではるかに安上がりです。」

アジャイル開発をサポート。DSOP は完全にセルフサービスになっており、開発チームはいつでもこれを実行してそのアプリが本番に使用準備が整っていることを確認でき、アプリケーションを手渡してから設定変更が必要なことが後になって始めて分かるようなことがありません。Durand 氏「DSOP は完全にオートメーションされており、弊社の DevOps パイプラインに統合されてアジャイル開発をサポートしてくれます。さらに DSOP を使うとフィードバックループを作ることになり、CloudFormation の開発者にベストプラクティスを教え、またセキュアな AWS インフラストラクチャのデプロイ方法についてその理解を促進できます。」

新規セキュリティールールの早い作成とデプロイ。Stelligent ではそのエンゲージメントの一環として、Durand 氏のチームに DSOP のメンテナンス方法について数週間トレーニングを行いました。チームは直ちに、また容易に新たなセキュリティールールを書き、それをパイプラインに直ちに適用できました。Durand 氏「知識の受け渡しはこのエンゲージメントでの重要点です。実際、Stelligent はプロジェクトの全分野に関して 100 パーセント成果物を渡してくれました。私たちは求めた通りのものが手に入り、品質は優秀で、弊社のチームは DSOP を理解し、自分たち自身でこれを強化できるようになりました。」

エンタープライズを通してのスケーラビリティ。 DSOP は完全にオートメーションされており、AWS 自身で実行されるので、Verizon はその使用をエンタープライズ全体にわたってスケールして、クラウドに移行しようとする多くのアプリケーションに対処できます。Durand 氏「もし我々が同じ確認をマニュアルで行うとしたら、非常に多くのリソースを要して、それでもまだ人為的ミスの可能性があります。

DSOP の利点は要するに、セキュリティーの低いインフラストラクチャをデプロイする後ではなく、その前にこうした問題を検出できるということです。もちろんマニュアルで確認はしますが、DSPOP を使った箇所にセキュリティー設定の問題は見つかっていません。」Durand 氏はこう締めくくってくれました。

AWS DevOps サービスの詳細はこちらをご覧ください。