‍

チャレンジ

スピードは重要な目標ですが、ゴールドマン・サックスはコンプライアンスとセキュリティを妥協することはできません。規制の厳しい業界に属する同社は、コンテナ化されたアプリケーションとデータを確実に監視する方法を必要としています。さらに、ビジネスはソフトウェアで運営されているため、パフォーマンスと可用性が基本です。

「セキュリティはベストプラクティスを中心に据えているため、日々のセキュリティプロセスに統合されているMITRE ATT&CKプラクティスをチームが効率的に適用する方法が必要でした。」

ゴールドマン・サックスセキュリティ・インシデント・レスポンス担当グローバル責任者、ウェス・ウィリアムズ

ソリューション

Sysdigは、Goldman Sachsのクラウドチームがマイクロサービスを大規模に監視するうえで重要な役割を果たしています。Sysdig の導入により、ゴールドマン・サックスは次のことができるようになりました。

• ビジネスクリティカルなサービスのパフォーマンスと可用性を最適化
• インシデント対応とトラブルシューティングを加速

クラウドネイティブテクノロジーにより、Goldman SachsはDevOpsチームの効率を大幅に向上させることができました。同社はコンテナを使用することで、ソフトウェア開発を加速し、事業継続を自動化し、インフラストラクチャ管理を簡素化しました。同時に、セキュリティとコンプライアンスのプロセスを効果的に変える必要がありました。ゴールドマン・サックスは、可視性を確保するための適切なツールなしには事業を運営できません。

ゴールドマン・サックスのエンジニアリング担当副社長であるChetan Mehendirattaは、「クラウドプロバイダーとオンプレミスのデータセンターにまたがる非常に動的な環境では、セキュリティ、監視、トラブルシューティングがまったく新しい局面を迎えました」と述べています。

「私たちの憲章は、私たちの環境で実行されているサービスを最適化して保護することです。たとえば、通信パターンとクラスターの使用状況を把握し、不適切な動作やセキュリティイベントを特定し、アプリケーションが十分に活用されていないか、過剰に利用されているかを知る必要があります。これらの目標を達成するには、詳細なテレメトリだけでなく、アプリケーションのコンテキストも必要です。これは解決が難しい問題です。」

ゴールドマン・サックスは2016年後半にシスディグと契約し、同社独自の要件に適合するかどうかを判断するための厳格な技術評価に着手しました。Goldman Sachs 社は、セキュリティとコンプライアンスを会社の DevOps ワークフローに統合する一方で、Sysdig によって必要な可視化が可能になったことに気付きました。Sysdig のおかげで、同社は監視、トラブルシューティング、スキャン、コンプライアンス、脅威検出、監査など、さまざまなユースケースにすべて大規模に対応できるようになりました。
‍
ゴールドマン・サックスは、Sysdigを導入して自社の環境を大規模に監視および保護し、9,000人以上の開発者をサポートしています。

大規模なアプリケーション監視

ゴールドマン・サックスの中央監視チームは、非常に動的で非常にスケーラブルなマルチクラウド環境において、 システムディグモニター ホスト、コンテナ、オーケストレータを自動検出して監視します。チームは、オンプレミスとパブリッククラウドのアプリケーションとコンテナを簡単に識別できます。収集されたテレメトリは、アプリケーション、インフラストラクチャ、プロセスレベルのアクティビティにまたがる前例のない規模で、1 秒間に数百万のコンテナをポーリングしています。

Goldman Sachsは、豊富なデータを利用して、特定のアプリケーションに属するコンテナとプロセスを識別し、どのサービスが他のサービスと通信するかを詳細に説明するカスタムサービス接続マップを構築できます。さらに、これらのマップには、スタック全体にわたる問題の特定とトラブルシューティングに役立つ詳細なアクティビティデータが豊富に含まれています。

クラウド全体の不正接続とトップトーカーの特定

監視チームはSysdigを使用して、エンティティ、データセンター、リージョン、クラウド間の何百万ものネットワーク接続を追跡し、ネットワークの使用状況をコンテナに特定します。どのプロセスとコンテナがトップトーカーであるかを知ることは、ゴールドマン・サックスの効率化に役立ちます。

• 最も多くのネットワークデータを使用するアプリケーションを分離
• セキュリティ違反を示す可能性のある不正接続を特定
• キャパシティプランニングを改善するために、コンテナプロセスをネットワーク使用状況に帰属させる
• トラブルシューティングを実行して可用性を最大化

クラウドネイティブ環境向けの MITRE ATT&CK 検出

と システムディグ・セキュア Goldman Sachsは、セキュリティ検出ポリシーにアクセスでき、プロセス、ファイル、ネットワークI/O、およびユーザーアクティビティを完全に可視化できます。Goldman Sachsは、すぐに使えるルールとカスタマイズ可能なルールの両方が、一般的な不正行為や潜在的な侵害の兆候を検出するのに役立ちます。さらに、セキュリティチームは、コミュニティ主導のルールや、Sysdig 脅威調査チームが提供した最新の検出機能を活用できます。

優れたセキュリティ戦略には、セキュリティチームを標準に合わせることが含まれます。ゴールドマンのセキュリティ・インシデント・レスポンス・チーム（SIRT）は、MITRE ATT&CK フレームワークを使用して検出戦略を調整し、選定プロセス中にツールを比較しました。

ゴールドマン・サックスのセキュリティ・インシデント・レスポンス担当グローバル責任者であるウェス・ウィリアムズは次のように説明しています。「セキュリティはベストプラクティスを中心に据えているため、日々のセキュリティプロセスに統合されているMITRE ATT&CKプラクティスをチームが効率的に適用する方法が必要でした。

Goldman Sachsは、既存のロギングツールだけでなく、Sysdigによって最初に作成されたオープンソースのクラウドネイティブランタイムセキュリティプロジェクトであるFalcoを含むオープンソースソリューションも評価しました。SIRT は評価の結果、ロギングでは必要な一連の検出を十分にサポートできないと結論付けました。

Goldmanは、FalcoをベースにしたSysdig Secureによって、インシデントを検出し、状況に応じたきめ細かなデータを使用して迅速に対応できるようになることを発見しました。誤検出のノイズを最小限に抑える堅牢な検出により、チームの効率と信頼性が向上しました。

エフェメラルワークロードの監査とフォレンジック記録

監査とフォレンジックを目的としてSysdigが収集したデータは、ゴールドマンの戦略にとって極めて重要です。これらのデータソースにより、アナリストはイベントが発生した瞬間からユーザーとシステムのアクティビティを確認できます。これには、実行されたユーザーコマンド、確立または試行されたすべてのネットワーク接続、ホストが稼働していなくても入出力アクティビティを掘り下げる機能などが含まれます。今後、SIRT は Sysdig Secure を利用してコンテナを監視する予定です。さらに、現在のホストのコンプライアンスやセキュリティイベントの監視に加えて、Sysdig Secure を活用する予定です。

「私たちの規模では、たとえコンテナの寿命がほんの数秒であっても、完全な記録を残すことが重要です」とウィリアムズは説明します。「そして、フォレンジック調査だけでなくセキュリティ監査も実施するには、このデータを大規模に収集できる必要があります。」

インシデント対応チームは、Sysdig Secureが提供する30以上の組み込み検出機能から即座に価値を引き出します。Sysdig のデータにより、ゴールドマン・サックスは活動の完全な記録を保持し、監査目的でイベントをきめ細かく再構築できることが保証されます。

訪問 www.goldmansachs.com ゴールドマンサックスについてもっと知りたい