CNCFは、エンドユーザTechnology Radarの第6版を公開した。このエディションのテーマはDevSecOpsだ。ソフトウェア開発ライフサイクルのすべてのステップにおけるセキュリティインテグレーションである。レーダーチームは、今日多くのDevSecOpsツールがあり、この領域が急速に成長し、変化していることを強調している。
Cloud Native Computing Foundationの厚意による提供
テクノロジーレーダーチームは、この調査から得られた3つの主要なテーマを報告した。最初のテーマは、現在利用可能なツールは、開発者よりもセキュリティチームのニーズを満たすように設計されているということだ。利用できる有望なツールはたくさんあるが、すべての課題を解決するための包括的なアプローチを提供できるツールは1つもない。
レーダーチームの調査結果によると、利用可能な非常に有望なツールにはCilium、Linkerd、Trivyなどがある。このようなツールは、少なくとも1つの問題を解決するのに優れているが、改善の余地がある。
Keith Nielsen氏は、調査に参加した企業の1つ、DiscoverFinancialServicesのクラウドアーキテクチャのディレクタだ。彼の組織がこのような課題にどのように対処しているかを説明した。
クラウドプロバイダのツールセットを使わない限り、自分でツールをつなぎ合わせることになります。ツールは、ツールとどのように対話するかと、ツールから返される情報という点で改善されてきました。しかし、まだ確実と言える方法はありません。
2番目のテーマは、DevSecOps領域が急速に変化していることだ。レーダーチームは、今日の担当者には、評価、決定、自身の環境に統合できるセキュリティツールが多数あることを強調している。一部で、主要なクラウドプロバイダから提供される新しいサービスの割合が、Kubernetesの台頭と相まって増加しているためである。これらの2つの要因により、サービスを安全に利用し、新しいセキュリティツールと統合することが難しくなっている。
Allianz DirectのDevOpsの責任者Sergiu Petean氏は、担当者が今日直面している困難について次のようにコメントしている。
現在、イノベーションとデジタル化のスピードは非常に重要な要素です。多くの場合、セキュリティを行うための古い方法が機能しなくなった状態になっていることに気づき、セキュリティの別の方法を探すでしょう。
3番目のテーマはマイクロセグメンテーションについてである。これは、ワークロードを論理的に分割および分離し、そのような個々のユニットにセキュリティ制御を適用するネットワークセキュリティ技術だ。レーダーチームは、マイクロセグメンテーションは、適切なテクノロジーを採用するという点だけでなく、従来のネットワークセキュリティのプラクティスに慣れている企業の担当者の考え方を変えるという点でも重要な課題であると指摘した。
マイクロセグメンテーション用にレーダーに含まれるツールには、Istio、Calico、Open Policy Agent (OPA)がある。
この調査には、21社が参加し、エンドユーザから合計252の回答とともに、171のデータポイントが得られた。
このエディションに関するウェビナーによると、2021年9月に実施された調査の結果は21のエンドユーザ企業に限定されていた。例えば、Spotify、Intuit、Squarespace、Zendesk、Discover FinancialServicesだ。
エンドユーザは、次回のテックレーダーをお勧めしたり、あるいは投票に参加できる。また、フィードバックはinfo@cncf.ioへ。