国防総省がKubernetesとIstioでDevSecOps基盤を構築、「ウォーターフォール文化を変える」:KubeCon+CloudNativeCon North America 2019報告(2)(2/2 ページ)
サービスメッシュレイヤーの上では、Knativeに基づくサーバレス機能の実装も行っている。これも、特定クラウドサービスのプロダクトにロックインされない形でサーバレス/FaaS(Functions as a Service)を活用できるようにしたいからだという。
チャイラン氏たちは、開発関連ツールやその他のソフトウェア機能のうち、同省が利用を推奨するものにハードニングなどのセキュリティ的な強化を加え、認証する作業を進めてきた。現在、170以上のコンテナが、「DoD Centralized Artifacts Repository(DCAR)」と呼ばれるコンテナリポジトリに置かれている。
「私が特に誇りに思っているのは、このDevSecOpsを構成する全てのスタックがオープンソースで、あらゆる人々に公開できているということだ。誰もがハードニングを加えたコンテナをここから活用できる」とチャイラン氏は話した。
サービスメッシュでゼロトラストセキュリティを実現
その上で、「Envoy」を使い、サイドカー型でゼロトラスト型のセキュリティを構築しようとしている。つまり、コンテナは、デフォルトではどことも通信ができない。必要に応じて、ホワイトリストに基づき、認証の上で双方向TLS(mTLS)を用いて通信を行う。
国防総省のDevSecOpsについての取り組みにおいて、「Sec」の部分はサービスメッシュとAPIゲートウェイが決め手となっている。ネットワーク/通信制御によるコンテナ単位での保護を、振る舞い検知などの活用によりきめ細かく実施していくという。ポリシー管理では、「Open Policy Agent」を活用し、「Unclassified」 「Classified」「Top Secret」の3つにまたがるセキュリティの統合運用を進めてしていくとしている。
ちなみに、チャイラン氏は講演の中で、サービスメッシュとIstioを同義語のように使っていた。他のサービスメッシュは考えないのかと問われた同氏は、まずプロキシとしてEnvoyの豊富な機能に注目したと答えた。そして、できるだけ実装を急ぐため、Envoyを使うコントロールプレーンとしての機能が充実したIstioを選んだという。また、IstioとKnativeの相性も考慮したようだ。今後は他の選択肢も考えていくという。
このように、アジャイルな開発を支えられるプラットフォームを構築しても、人の文化を変えるという、困難な課題がある。契約業者などを含めて関係者のほぼ全員を、クラウドネイティブな世界に連れていく必要がある。そこで民間のセルフラーニングコースなどを活用し、10万人以上に教育を施していくという。
上述の通り、開発の迅速化を図っても、本番運用のためのソフトウェア認証に8カ月といった時間を要するのでは話にならない。そこで同省のソフトウェアデリバリー全体に適用できる「継続的ATO」を定義し、認証基準を確立した。これにより、パイロットプロジェクトでは1日に数回のデリバリーが可能になったという。
このように、国防総省では、あらゆるインフラに対応し、セキュリティのきめ細かな統合管理ができるDevSecOps基盤の構築が進んでいる。今後の焦点は、この器を使ったアジャイル開発をどう効果的に推進するかにある。
一方でチャイラン氏は、「国防総省にできるのだから、一般企業でできないわけがない」と話している。
特集:クラウドネイティブとは何か? クラウドネイティブは「攻めのIT」の前提 ではその具体的な姿とは
今や、あらゆるWebテクノロジー企業が「クラウドネイティブ」を目指している。一般企業においても、デジタル化への取り組みに伴い、この言葉が最重要キーワードとして浮上している。クラウドネイティブは、これからの攻めのITにおける前提になったといって過言ではない。そこで次に語られるべきは、「具体的に何をやっていくのがいいか」ということだ。パブリッククラウドを使えば自動的にクラウドネイティブになるわけではない。本特集では、クラウドネイティブに一家言を持つ青山真也氏と草間一人氏の対談や、事例を通じ、クラウドネイティブの具体的な姿を明らかにしていく。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。