FJCT Tech blog

富士通クラウドテクノロジーズ公式エンジニアブログです

富士通クラウドテクノロジーズ

FJCT/Tech blog

VMware Aria Automation for Secure Clouds Free Tierを使ってみました!(GCP編)

こんにちは!富士通クラウドテクノロジーズ、vExpertの蓮沼です。
この記事はvExperts Advent Calendar 2022の7日目の記事です。

6日目は@shirokimuさんの「vExpertが語る」のモデレータをやってみた2022でした。 vExpertやVMUGについて説明されています!
(先日の「vExpertが語る」ではありがとうございました🙇 )

実は11月のvExpertが語るニフクラの中の人が気になった VMware Explore 2022 の注目ポイント というタイトルで登壇しました。

www.youtube.com

今年のVMware Explore 2022 Japanに参加して、1VMwareユーザとして注目ポイントを話させて頂いたのですが、時間の都合上詳細が話せなかったVMware Aria Automation for Secure Cloudsについて、GCPを対象に利用する方法を紹介したいと思います。

ちなみにAzure編については @gowatana さんのCloudHealth Secure State Free Tier を利用開始してみる。(Azure 編)で紹介されています。

vm.gowatana.jp

VMware Aria Automation for Secure Cloudsとは?

一言で説明するとCSPM(Cloud Security Posture Management)のサービスです。今回のVMware Explore 2022でVMware Ariaが発表されました。これは統合マルチクラウド管理のサービス、製品群の名称になりますが、その中でも

と様々なカテゴリがあります。今回紹介するSecure CloudsはVMware Aria Automationに属するサービスです。(旧称 CloudHealth Secure State)

そもそもCSPMって何?

CSPMはクラウド上のリソースに対する設定ミスなどを検知、設定したポリシーに従い自動修正するツールです。 クラウド事業者各社が様々なサービスを提供する中で、利用者はマルチクラウド環境でシステムを構成する機会が増えていると思います。マルチクラウドになると対象のリソースの管理が複雑になったり、管理対象の数が増えるにつれ設定ミスや、運用者によってはナレッジの差などセキュリティリスクにつながるような設定不備が発生する場合があります。
このような設定ミスをCSPMによって検知し、さらに設定を自動修正する事が可能になります。 クラウド事業者のエンジニアとして、CSPMはお客様が安心してクラウドをご利用して頂くためにも必要なサービスだなと個人的に思っています。

という事で今回はSecure CloudsでGCPを管理対象として利用してみました!
中の人が他のクラウドを紹介する事はよくある事なので気にしないでください

VMware Aria Automation for Secure CloudsのFree Tier版について

今年の8月頃にSecure CloudsのFree Tier版が発表されました!管理対象に出来るクラウドアカウントやデータ保持期間、自動修復機能など制限はありますが、無償でSecure Cloudsを使ってCSPMを気軽に試してみる事が出来ます。

さっそく使ってみた!

まずはSecure Cloudsの登録

以下のリンクよりSecure Cloudsの利用登録を行いましょう。無償で利用できるため、クレジットカードの入力なども必要ありませんでした。

www.securestate.vmware.com

Secure CloudsとGCPの初期設定

登録が完了すると以下の通りSecure CloudsのWelcome画面が表示されます。
add Cloud Accountより、GCPのアカウントを追加します。

GCPを選択

するとCloud Account登録のためにコマンドが表示されるので、画面の指示に従いコマンドを実行します。

コマンドを実行

GCPと言えばCloud Shellがめちゃくちゃ便利なのでサクッと以下のようにコマンドを実行しましょう。

gcloud auth login
curl https://api.securestate.vmware.com/download/onboarding/gcp/gcp_single_project_onboarding.sh --output gcp_single_project_onboarding.sh && /bin/bash gcp_single_project_onboarding.sh ${PROJECT_NAME}
cloudshell download vmw-secure-state-sa-key.json

コマンドを実行するとjsonファイルがダウンロード出来るので一度ローカルに保存し、Secure Cloudsのサイトにアップロードすれば登録は完了です。

jsonファイルをアップロード

アカウント連携が完了し、ダッシュボードが表示!

Azureに比べるとCloud Shellで簡単にセットアップが完了しました😆

実際にリソース設定にポリシー違反がないか確認してみる

クラウド上のリソース設定にポリシー違反がないか確認してみます。Secure Cloudsの画面からGCP上に存在するリソースが確認出来ます。

Findingsからリソースを確認

デフォルトではCIS GCP Foundations Benchmark 1.3.0のフレームワークが適用されていました。 CISベンチマークCenter for Internet Securityが公開しているセキュリティ設定のベストプラクティスです。

www.cisecurity.org

ラックさんの記事がとても参考になったのでリンクします。

www.lac.co.jp

実際にリソースをクリックしてみるとどのようなRuleに該当しているのか確認出来ます。

リソースの詳細画面

該当したRuleはKnowledge Base へのリンクがあり、Suggested Actionとして対処方法が紹介されてます。
また各種フレームワークのどの項番に該当しているのか、確認出来ます。

docs.securestate.vmware.com

各環境で利用出来るフレームワークは以下から確認出来ます。

docs.vmware.com

外部連携

Secure Cloudsではメールのほかにslack連携やAPIが提供されているため、各種イベント発生時に外部通知が可能になっています。

Integraionsの画面。Free Tierではslack連携も利用可能です!

APIは以下から確認出来ます。Swaggerで提供されているので良いですね👍

api.securestate.vmware.com

最後に

今回簡単にですがVMwareのCSPMサービスである、VMware Aria Automation for Secure CloudsでGCPを管理対象に使ってみました。 登壇時にはVMwareさんのサービスなのでクラウドもオンプレも統一的なポリシーで管理出来れば良いなと話していたのですが、フレームワークとvSphere + NSXの構成次第ではSecure Cloudsで一貫した管理、自動修復まで出来ると面白いなと思いました。

ちなみにVMware Explore 2022 Japanのセッションは現在配信中です。以下のセッションではSecure Cloudsの自動修復について、デモで紹介されているのでご興味があれば見てみると良いと思います!

www.vmware.com

8日目は@jangari_ntkさんがESXi 8.0のDaemon Sandboxingについて投稿されるそうです。お楽しみに!

それではまた来年~!