チャレンジ

SAP Concur でのマイクロサービスの構築は、小規模なチームから始まりました。SAP Concur のエンジニアリングディレクターである Mike Luedke 氏は次のように説明しています。「私たちは草の根的な取り組みとしてスタートしました。もともとクラスターの構築を始めたのは、さまざまなチームのメンバーが何人かいました。最終的に、Concur 内のアーリーアダプターに公開しました。その後、すぐに勢いを増しました。私たちは、このことを管理する非公式のグループから、Concurに明確な未来があることが明らかになったところまで行きました。その時点で、私たちはそれを中心に正式なチームを作り始めました。」

当初は、SAP Concur スタックのすべてがオープンソースでした。彼らが成長するにつれ、彼らはセキュリティチームと連携し、特に従来のインフラストラクチャと新しいコンテナ環境のセキュリティを比較する際に、セキュリティと可視性のギャップを迅速に特定しました。

SAP Concurのシニア開発マネージャーであるTiziano Tarolla氏は次のように語っています。「オープンソースのPrometheusで100ノードに到達した頃に、より良いスケーリング戦略を考え出す必要がありました。私たちはリソースの不足に悩まされていました。私たちは社内アプリケーションチームの拡大と需要への対応に忙殺されていたため、Prometheus 用のスケーリングソリューションを見つけるための予備サイクルがあまりなかったため、商用オプションを検討し始めました。Sysdig MonitorのマネージドPrometheusサービスはオープンスタンダードに基づいているため、監視環境の再構築について心配する必要はありませんでした。」

ソリューション

SAP が選択したシステムログに同意する理由

Luedke 氏は、オプションを探す際に次のように説明しています。「Concur は、スタックに導入する商用ソリューションについて考えるのにかなりの時間を費やしました。というのも、私たちのスタックの中で商用ソリューションが唯一の部分だったからです。それ以外はすべて無料のオープンソースでした。」

既知の商用監視ツールとセキュリティツールを比較した結果、SAP Concurは次の点でSysdigを選択しました。

• Kubernetes ファーストなセキュリティアプローチ
• オープンソースのルーツ
• 独自のシステムコール実装
• 統合セキュリティ、コンプライアンス、モニタリング
• プロムQL のサポート
• すぐに使えるディープカーネルレベルのメトリクスで、どんな方法でもスライス可能

何千時間もの時間を節約し、毎日のリリースも可能に

使用する前に システムディグ・セキュア そして システムディグモニター、SAP Concur は、コードを本番環境に導入する前に手動でレビューを行っていました。Luedke 氏によれば、「Sysdig のおかげで、手動レビューの多くを自動化できました。Sysdig をパイプラインに組み込んで、本番環境へのコンテナの昇格時に、コンテナの脆弱性とコンプライアンスのチェックを実行しています。こうした自動チェックのおかげで、より迅速に行動できるようになりました。」

Luedke氏は、レビュープロセスと、現在の規模でSysdigを導入しないとどうなるかをさらに説明し、次のように述べました。「これらの脆弱性を手動で確認したり、手動でスキャンしたりすると、チェックインごとに10分かかる場合があります。以前の脆弱性スキャンのオプションはオープンソースの Clair を使用していたので、私のチームは別のインターフェースで結果を確認しなければならず、時間がかかりました。Sysdig では、チームがデプロイを行う際に、これらすべてがパイプラインの一部として自動的に行われます。現在、当社では 1 日に数千件のマージを処理しています。それぞれの所要時間が平均 10 分で、その所要時間が 1 日に数千分であることを考えると、Sysdig なしでは同じ速度に近い速度で運用することはできないでしょう。」

セキュリティと可視性のギャップを解消

セキュリティ、コンプライアンス、監視を統合した唯一のプラットフォームであるSysdigは、信頼できる唯一の情報源を提供し、開発チーム、DevOpsチーム、セキュリティチーム間の情報のサイロ化を排除します。このアプローチにより、組織はクラウドや Kubernetes のコンテキストと自動的に関連付けられる詳細なシステムデータを分析することで、問題をより迅速に解決できます。また、DevOps チームがセキュリティ責任を引き受けられるようになります。

Sysdig は、アプリケーション、運用、インフラストラクチャ、DevOps、セキュリティチームなど、SAP Concur の多くのチームで使用されています。1 つのツールで複数のユースケースに対応できるため、全員がセキュリティに責任を持ち、安全な DevOps を採用できるようになりました。Luedke 氏は次のように説明しています。「Sysdig のおかげで、アプリケーション開発者は何が起こっているのかを直接把握できます。パフォーマンスメトリクスなどを見ることができ、Sysdig をトラブルシューティングツールとして使用できます。これにより、各自のアプリケーションで独自の DevOps を実行できるようになります。運用チームやインフラストラクチャーチームに連絡しなくても、Sysdig にアクセスして何が起こっているかを確認できます。」

Luedke氏は続けて次のように説明しています。「Sysdigは、アプリケーション開発者だけでなく、インフラストラクチャチームも含め、全員の時間を節約します。また、時間の節約になるため、データを見る頻度が高くなるため、ユーザーは多くの質問をすることができます。これにより、可視性が得られるため、ハードルが低くなります。何かを見たいときに余分なオーバーヘッドが発生することはなく、ただ見に行くだけで済みます。これにより、インフラストラクチャで何が起こっているのかをより意識するようになると思います。」

Luedke氏はまた、統合プラットフォームによってセキュリティが強化されるだけでなく、リソースとコストの節約にもなると説明しました。「監視を総合的に検討する 1 つのソリューションがあれば、シンプルになります。つまり、セキュリティ監視だけでなく、インフラストラクチャの運用監視も行えるということです。それには大きな価値があります！より戦術的な観点から見ると、1人のエージェントにすべてを報告してもらうことで、各エージェントが処理能力を消費するため、多額の費用を節約できます。したがって、1人のエージェントでそれを行うことができるのは非常に便利です。Sysdig で得られるものを得るには、2 つのツールが必要になり、エージェントの数が 2 倍になります。」

エンタープライズ規模でのプロメテウスメトリクス

SAP Concur が Sysdig を選択する前は、チームはモニタリングに Prometheus を使用していました。Luedke 氏によれば、「メトリクスの面では、プロメテウスを使っていたので問題ありませんでした。しかし、私たちが直面していた問題はスケーラビリティに関するものでした。私たちが成長するにつれ、スケーリングの問題が原因で Prometheus データベースが定期的に失われていきました。ある時点では 1 時間分のデータしか保存できませんでした。1 時間以上前に何かが起こった場合、収集していたデータ量のせいで運が悪かったのです。時には、データベースが完全に失われ、クラッシュすることもありました。データはまったく手に入らないでしょう。私たちは盲目的に飛んでいた。」

Sysdigは、完全に互換性のある唯一のプロメテウスソリューションです。これには、高度なメトリクスクエリを実行したり、ダッシュボードを構築したり、アラートを作成したりするための Prometheus クエリ言語 (Prometheus Query Language) のサポートが含まれます。Sysdig は、チームが組織全体で Prometheus モニタリングを採用することを妨げている問題、つまり、スケーリング、データ保持、エンタープライズアクセス制御に対処します。

画像スキャンでセキュリティを左に移す

組織は、イメージスキャンを通じてDevOpsプロセスの早い段階で脆弱性や構成ミスを発見して修正することで、セキュリティリスクを管理できます。SAP Concur は Sysdig を使用して、レジストリーや CI/CD パイプライン内のイメージだけでなく、本番環境でも継続的にスキャンしています。これにより、Kubernetes ベースのアプリケーションに脆弱性を独自にマッピングできるため、時間を節約できます。

Luedke氏は次のように語っています。「私たちは、コンテナの脆弱性スキャンと侵入検知をSysdigに頼っています。Sysdig を導入する前は、ノード上でホストベースの侵入検知を実行していましたが、コンテキストはありませんでした。どのプロセスが影響を受けたかがわかるかもしれませんが、これはDocker IDだけのように見えました。大規模なマルチテナント環境では、Kubernetes のメタデータと混ぜない限り、そのコンテナが何に属しているのか分かりませんでした。その情報を入手できなかったわけではなく、それを定期的に行うのは本当に骨の折れるほど困難でした。Sysdig のおかげで、セキュリティイベントやその他の低レベルの情報をコンテキストで素早く確認できるようになりました。」

「時間の経過とともに、Sysdigの利用状況と環境の保護方法は、会社が進化するにつれて増え続けています。以前は商業顧客にかなり重点を置いていましたが、最近では公共部門の事業が本当に成長しました。これに伴い、新たなコンプライアンス義務が課せられました。Sysdigを活用して、これらのコンプライアンス項目の一部にもチェックを入れることができました。導入当初は、このような手動による調査を週に1、2回、数時間かけて行う必要がありました。しかし、Kubernetes 環境とともにコンプライアンス要件が高まるにつれて、それを手動で行うことはできなくなりました。現在の規模では、Sysdig なしでは運営できませんでした。このようなソリューションがなければ、Kubernetes は使えなかっただけです。」

コンプライアンスレポートの簡略化

アクティビティ監査により、Sysdigはコンテナのアクティビティをキャプチャし、その情報をアプリケーションコンテキストやKubernetesのユーザーやサービスと関連付けます。この機能は、監査中を含め、SAP Concur で何百回も役立っています。

Luedke 氏は次のように説明しています。「監査証跡があると、さまざまな状況で役に立ちました。ある時、私たちが言ったとおりに環境が運営されていることを確認したいという監査人がいました。インフラストラクチャーを実行している特定のコンテナーにプロセス情報を求めましたが、そのコンテナーはディストリビューションなしで稼働していたため、シェルはありません。実行する必要があるものだけにロックダウンされているので非常に安全ですが、実行してもプロセス情報を取得するようなことはできないということでもあります。Sysdig を使用してそのコンテナを可視化し、監査人に証拠を提供することができました。」

さらに詳しく説明すると、Luedke 氏は次のように述べています。「そのインスタンスのトッププロセスメトリクスビューのダッシュボードを見て、必要なものを提供しただけです。また、私たちがこの義務を果たしていると伝えたので、コンテナが不変であることを確認することについて、フォローアップの質問もありました。Sysdig を使うことで、実行中のコンテナが発売されてから改造されていないことを証明できました。Sysdig の監査イベントを使って、コンテナー上のファイルシステムとシェルのアクティビティを表示してそれを証明しただけです。」

コンテナがなくなってもフォレンジック

コンプライアンス監査に役立つ同じアクティビティの監査証跡は、異常な行動が発生した場合に非常に役立ちます。Sysdigを使用すると、コンテナがもう存在しない場合でも、企業はすべてのアクティビティ情報をキャプチャファイルにキャプチャしてフォレンジック用に取り込むことができます。

SAP Concurについて、Luedkeは次のように説明しています。「Sysdigは何度もトラブルシューティングに関する洞察を与えてくれました。サービスが低下したときには、常にトラブルシューティングツールとして使用しています。Sysdig は、問題がどこにあるのかを特定するのに役立ちます。これは私たちが使っている Sysdig 機能の中でも最も価値のある機能の 1 つです。」

Luedke氏によれば、キャプチャ以外にも、「さまざまな属性でメトリクスを細かく分析できることは非常に便利です。私たちはしばしば固有の問題に遭遇しますが、必要な方法で問題を示す定型的なビューがなければ、すぐにそのビューを構築できます。何かが計画通りに進んでいないとき、これがどれほど価値があるか説明しきれません。」

ディープカーネルデータによる比類のない可視性

Sysdig はシステムコールを使用して、コンテナー内で何が起こっているかを報告します。システムコールはユーザーとカーネルの相互作用の主要なメカニズムであるため、プログラムが何をしているのかを詳細に把握でき、トラブルシューティング、監視、ボトルネックの特定に非常に役立ちます。

Luedke氏によれば、「私たちはSysdigのアプローチが気に入りました。そのインストゥルメント方法と、実際にデータを収集する方法が気に入りました。他のオプションと比較して優れたセキュリティ監視ソリューションでした。他のセキュリティツールは、Kubernetes の機能を大幅に拡張しています。それらはKubernetesでギャップを埋めるようなものですが、Kubernetesが成熟するにつれて、それらのギャップはすでに上流で埋められたり、対処されたりしています。私たちは、カーネルからメトリクスを取り出すことが重要だと強く信じています。これは非常に堅実な戦略です。Sysdigから得られるすぐに使える指標にはいつも感銘を受けてきました。これは非常に低レベルのデータで、他のソリューションと比較して非常に広範囲に及ぶため、現在発生している問題を深く掘り下げることができます。」

ハイブリッドクラウドインフラストラクチャ全体の可用性を最大化

SAP Concur環境は、AWSクラウドとオンプレミスのインフラストラクチャにまたがっています。Sysdig を使用することで、SAP Concur はすべてのインフラストラクチャで同じ視聴体験が得られるため、プラットフォーム間の依存関係があるマイクロサービスの問題を予測しやすくなります。問題が発生した場合、システム全体を可視化することで、より迅速な解決が可能になります。

Luedke 氏は次のように語っています。「Sysdig では、AWS とオンプレミスの両方にわたる問題を 1 つのビューで調査し、探すことができます。インターフェースのセットアップ方法によって、一方で異常が発生しているのか、他方で発生しているのかを非常に迅速に把握できます。ダッシュボードのスマートなグループ化により、メトリクスのさまざまな属性を、必要なコンテキストで意味のある方法でグループ化できます。Kubernetes、名前空間のビュー、あるいはもっと物理的なビュー、あるいは自分のクラスターを見たいと思うようなビューを得るために、データをスコープしてスライスし、それをSysdig のコンテキストでまとめることができるので、インフラストラクチャ全体で行われていることを本当に理解できます。」

オープンでコミュニティ重視の企業

SAP Concur がまだ選定段階にあった頃、チームが Sysdig に惹かれたのは、オープンソースの基盤に基づいて構築されているからです。Luedke 氏は次のように述べています。「Sysdig がオープンソースを受け入れ、貢献した方法が気に入りました。それは私たちにとって重要でした。」

今日、オープンソースがクラウドを牽引しています。Sysdig Inspect、Falco、Prometheus などのオープンソースツールをベースに構築することで、Sysdig はより安全なソフトウェアを提供しながら、より迅速に行動できるようになりました。

Luedkeにとって、Sysdigはオープンソースを採用しているため、新しい機能を追加する必要があるときはより簡単です。彼が言うように、「Prometheus のようなオープンスタンダードを迅速かつ簡単に使用できることは役に立ちました。たとえば、すぐに使用できる統合が行われていないいくつかのイベントでは、Prometheus エンドポイントを使用して必要なものを構築できます。簡単で素早く、本当に素晴らしいです。」

オープンソースベースの企業であることは、Sysdigがコラボレーションを信じているということでもあります。Sysdig の設立以来、製品チームは何時間もかけて顧客の声に耳を傾け、顧客のニーズをロードマップに導いてきました。長年のユーザーとして、このレベルのサービスはLuedkeにとって非常に重要でした。「Sysdigは私たちにとって良いパートナーでした。彼らは常に私たちの進化するニーズを非常に受け入れ、規模の大小を問わず私たちのための解決策を見つける手助けをしてくれました。彼らは私たちと一緒に塹壕にいます。」

SAP Concur の詳細については、以下をご覧ください。 www.concur.com。