Japan VMUG October Meeting での「朝起きたら Tanzu Guardrails になっていた。(Aria Guardrails 完結編)」というタイトルで話した内容をブログでも残しておきます。
詳しくは、Japan VMUG Meeting の録画をどうぞ。
朝起きたら Tanzu Guardrails になっていた。(Aria Guardrails 完結編)録画
今回の内容です。
- 朝起きたら Tanzu Guardrails になっていた。(Aria Guardrails 完結編)録画
- これまでのあらすじ
- 朝起きたら、Aria Guardrails が Tanzu Guardrails になっていた
- Tanzu Guardrails の製品ページでは
- Tanzu Guardrails に統合された Secure Clouds / Guardrails のポリシー
- Tanzu Guardrails の ポリシー テンプレートにある Secure Clouds 関連のものは ?
これまでのあらすじ
以前の VMUG Meeting LT での Aria / Aria Guardrails の話は・・・
前回までの Aria その1: Aria Automation for Secure Clouds
Aria Automation for Secure Clouds(旧 CloudHealth Secure State)の Free Tier で Azure の環境を確認してみる様子を、ブログで紹介しました。Secure Clouds は、マルチクラウド対応の CSPM(クラウド セキュリティ ポスチャ管理)製品です。AWS / Azure / GCP の設定について、セキュリティ コンプライアンス フレームワーク(Free Tier では、主に CIS Benchmarks をもとに) 確認できたりしました。
前回までの Aria その2: Aria Hub
2023年6月の VMUG Meeting では、Aria Hub の紹介をしました。Aria 製品の Hub になる SaaS で、Secure Clouds の情報も部分的に確認できます。
前回までの Aria その3: Aria Guardrails(& Idem)
VMware Explore 2023 US 直前の2023年8月の VMUG Meeting では、Aria Guardrails を、内部で活用している OSS である Idem とあわせて紹介しました。Aria Guardrails の機能を利用するインターフェースとしても、Aria Hub が使われています。
朝起きたら、Aria Guardrails が Tanzu Guardrails になっていた
そして、2023年8月後半に VMware Explore 2023 US が開催されたタイミングで、朝起きたら Aria Guardrails は Tanzu Guardrails になっていました。
VMware Explore 2022 US の際に Aria ブランドが発表され、旧 vRealize や一部の Tanzu 製品などが Aria リブランドに変更されましたが、今年は更に、おもに vRealize じゃなかった系の Aria が Tanzu ブランドに変更されました。
Aria → Tanzu に変更された製品は下記のあたりで、もともと vRealize だった Aria 製品(vRealize Operations / vRealize Automation あたり)が Aria のままです。
- Aria Hub → Tanzu Hub
- Aria Cost powered by CloudHealth → Tanzu CloudHealth
- Aria Guardrails → Tanzu Guardrails
- Aria Migration → Tanzu Transformer
- Aria Business Insights → Tanzu Insights
これは、マルチクラウドでアプリケーション デリバリー(の Optimize)に関係する製品が、Aria → Tanzu に最適化された感じかなと思います。
そうしたなかで、さりげなく Aria Automation for Secure Clouds は消滅してました。しかも、実際には VMware Explore 2023 US 開催のすこし前の 2023/08/04 には提供終了(End of Availability)となっていたようです。
つまり・・・
- CloudHealth Secure State から改称された Aria Automation for Secure Clouds は、Aria Guardrails に統合されました。
- Aria Guardrails は Tanzu Guardrails に改称されました。
- Tanzu Guardrails の UI としても利用されていた Aria Hub は、Tanzu Hub に改称されました。
図示すると、結局のところ下記のようになりました。
実際の製品としては、Secure Clouds の機能は、Tanzu Guardrails の一部として従来どおり利用可能なままです。
Tanzu Hub が、これまでどおり Tanzu Guardrails のインターフェースとなります。
そして、Aria Automation for Secure Clouds の専用画面もまだ使用されており、VMware Cloud Service Console や、Tanzu Hub の画面内からアクセスできます。
Cloud Service Console のサービス一覧でも、Tanzu Guardrails と Tanzu Hub が改称されており、どちらも Tanzu Hub への入り口となっています。
Secure Clouds は「Aria」表記のままですが、従来どおり Secure Clouds 専用画面が開けます。ただし Tanzu Hub Free Tier / Tanzu Guardrails Free Tier では、Secure Clouds 専用画面にアクセスできず、Tanzu Hub に遷移します。(つまりは従来どおりのままです)
Secure Clouds 専用画面にアクセスすると・・・
この画面にある英語の説明文は・・・
As announced in August, VMware Aria Automation for Secure Clouds capabilities are being expanded as VMware Tanzu Guardrails, a multi-cloud governance service to scale end-to-end policy enforcement across clouds and Kubernetes. These services are available through the newly launched VMware Tanzu Hub interface (formerly VMware Aria Hub powered by VMware Aria Graph). We are excited to provide you with access to the new offering now!
You can reach Tanzu Hub at https://www.mgmt.cloud.vmware.com/aria/home. If you cannot access the link, verify you have the correct service roles, and reach out to your VMware Technical Account Manager if the roles are not present.
Several core features of Aria Automation for Secure Clouds are already available in Tanzu Hub, with full availability to come at a later date. As a current subscriber you can continue to use the existing product until all services are moved into Tanzu Hub, at which point existing, older experiences will be deprecated.
Click the Move Status button to get the latest updates about the move effort and where to find Aria Automation for Secure Clouds features you are already familiar with in Tanzu Hub.
要約するとこんな感じです。(ChatGPT を使って)
- 8月に発表された通り、VMware Aria Automation for Secure Cloudsの機能がVMware Tanzu Guardrailsとして拡張されています。
- Tanzu Guardrailsは、クラウドとKubernetes全体にわたるポリシーの適用を拡大するマルチ クラウド ガバナンス サービスです。
- これらのサービスは、新しく立ち上げられたVMware Tanzu Hubインターフェース(以前のVMware Aria Hub)を通じて利用可能です。
- Tanzu Hubには https://www.mgmt.cloud.vmware.com/aria/home からアクセスできます。
- リンクにアクセスできない場合は、適切なサービス ロールを持っているか確認し、ロールがない場合はVMwareのTechnical Account Managerに連絡してください。
- Aria Automation for Secure Cloudsのいくつかのコア機能はすでにTanzu Hubで利用可能ですが、完全な提供は後日となります。
- 現在の加入者は、すべてのサービスがTanzu Hubに移行されるまで、既存の製品を継続して使用できます。
- Move Status(Migration Status)ボタンをクリックして、移行の最新の進捗状況やTanzu HubでのAria Automation for Secure Cloudsの機能の場所を確認できます。
「Migration Status」のリンク先は、下記のドキュメントです。
VMware Aria Automation for Secure Clouds is Moving to VMware Tanzu Hub
Tanzu Guardrails の製品ページでは
VMware Tanzu Guardrails の製品ページ では、いまのところ製品名の表記は「Aria Guardrails」ですが・・・
すでに機能の説明では、旧 Aria Guardrails だけではなく、旧 Secure Clouds の「セキュリティ ポスチャ管理」などが含まれています。
Tanzu Guardrails に統合された Secure Clouds / Guardrails のポリシー
旧 Secure Clouds / Guardrails の機能がこれまでどおり利用できる様子を理解するため、現在の Tanzu Hub で、旧 Aria Automation for Secure Clouds と旧 Aria Guardrails のポリシーの違いを、Tanzu Guardrails で検出された Findings(日本語 UI では「結果」)から再確認しておきます。
Tanzu Hub の画面左上にある名前はすでに「VMware Tanzu Hub」に変更されていますが、 旧 Guardrails / Secure Clouds の機能はこれまでどおり利用できます。
Tanzu Hub の Findings(検出された設定問題点の結果一覧)の Type 列は、 旧 Guardrails / Secure Clouds によって下記のように区別されていましたが・・・
- Aria Automation for Secure Clouds → Violation
- Aria Guardrails → Drift
これは、Tanzu Guardrails への Secure Clouds 統合 & ブランド変更後も、これまでどおりです。
- Tanzu Guardrails (旧Aria Automation for Secure Clouds) → Violation
- Tanzu Guardrails → Drift
ただし Tanzu Hub の UI は、Tanzu Guardrails 関連にかぎらずたまに更新されています。たとえば、Finding Source の「Tanzu Native」は以前は違う表記だったり、左メニューなどの「Guardrails」が「Compliance」に変更されていたり・・・
まずは、Secure Clouds 由来の Findings(結果)です。「EBS volume should be encrypted」とあり、暗号化されていない EBS ボリュームが見つかったことが検出されています。
これは、Typeが「Violation」、Finding Source が「Secure Clouds」になっています。
そして、「Policy」にあるリンクをクリックすると検出したポリシーの内容が確認できます。
ポリシーには、セキュリティ コンプライアンス フレームワークによる確認項目をもとにした、下記の SSQL クエリが設定されています。
entityType=AWS.EC2.Volume and (State=in-use or State=available) and (Encrypted=false or not propertyName(Encrypted))
この SSQL クエリは、従来から Secure Clouds で利用されていたもので、Tanzu Hub での検索でも利用できます。
ちなみに、Secure Clouds ポリシーに設定されたすべてのクエリがこのように実行できるわけではないのですが、今回はわかりやすい例としてこのポリシーピックアップました。
続いて、Guardrails 由来の Findings(結果)です。これは、Azure のリソース グループの設定を確認するポリシーによって検出されたものです。
Typeが「Drift」、Finding Source が「Guardrails」になっています。
このポリシー(ポリシー テンプレート)の設定を確認してみます。
Tanzu Guardrails ポリシーのルールは、Secure Clouds のようにクエリではなく、設定を定義するコードで、idem の SLS(Salt State)で記述されています。
このコードにより、現在の実機設定(Drifted State 欄)と、SLS コードで記載された「期待されている結果(Desired State)」との差分が確認できます。
このように、旧Aria Automation for Secure Clouds の機能によって検知された Violation は、セキュリティ コンプライアンス フレームワークなどをもとにしたクエリによる環境確認の結果です。一方で、旧 Aria Guardrails の機能による Drift は、SLS コードでの定義内容と実機との、差分確認の結果です。
それぞれセキュリティ ガバナンスのチェックの特徴が異なり、どちらも Tanzu Guardrails で引き続き利用可能であることがわかります。
Tanzu Guardrails の ポリシー テンプレートにある Secure Clouds 関連のものは ?
Tanzu Guardrails の ポリシー テンプレートを確認していると、「Security」カテゴリに Secure Clouds について確認していそうなものが見つかります。
このポリシー テンプレートにも、SLS でのコードが定義されています。
Provider が「Automation for Secure Clouds」のルールに記述されている下記の Guardrails ポリシー テンプレートに記述されている SLS コードは、下記のようになっています。
VMware Aria Automation for Secure Clouds - CIS AZURE foundation Benchmark 1.5.0 のコード
この SLS コードを見ると、これまで Secure Clouds で確認していたセキュリティ コンプライアンス フレームワークの設定内容を SLS に置き換えたものではないようです。つまり、Guardrails では「Secure Clouds の持っていた機能で、対象のフレームワークが有効になっているか」のみを確認し、フレームワークにもとづく環境確認は、ひきつづき Secure Clouds が持っていた機能でチェックしているようです。
以上、最近の Tanzu Guardrails についての話でした。
Tanzu Guardrails については、会社ブログでも紹介しているのであわせてどうぞ。
