クラウドネイティブのセキュリティテストを調べる

クラウドネイティブのセキュリティテストを調べる

著者 |パン・リフェン

背景

コンテナとクラウドネイティブ プラットフォームにより、企業はアプリケーションの展開を自動化できるようになり、ビジネスに大きなメリットをもたらします。ただし、新しく導入されたクラウド環境は、従来の環境と同様に、ハッカーや内部者による攻撃や悪用に対して脆弱です。ランサムウェア、暗号通貨マイニング、データ盗難、サービス中断攻撃は、コンテナベースのクラウドネイティブ環境を標的にし続けています。クラウド プラットフォームのセキュリティ上の欠陥が原因で大規模なネットワーク セキュリティ インシデントが頻繁に発生しているため、クラウド プラットフォームでのセキュリティ テストは特に重要です。

サイバーセキュリティインシデント関連事例:

  • 2017年、サイバーセキュリティの問題により、アメリカの信用調査会社Equifaxから約1億4,800万人のアメリカ国民のデータが漏洩しました。 (出典:新華網)
  • 2018年、テスラのクラウドサーバーがハッカーに乗っ取られ、暗号通貨のマイニングマシンにされ、機密データが漏洩した。 (出典:NetEase)
  • 2022年、HSBCのオンラインバンキングはサービス拒否(DDOS)攻撃を受け、1か月足らずの間に2度も麻痺状態に陥った。 (出典: Safe Dog)

クラウド時代のセキュリティ観点

では、クラウドネイティブ環境でセキュリティ テストを実施するにはどうすればよいでしょうか?まず、時代によってセキュリティの観点やセキュリティ テストの優先順位が異なることを理解しましょう。

モノリシック端末アーキテクチャの時代では、すべてのビジネス シナリオのプレゼンテーション層、ビジネス ロジック層、データ アクセス層が 1 つのプロジェクトに配置され、コンパイル、パッケージ化されてサーバー上に展開されます。構造は比較的単純で、保護も比較的容易です。

インターネットの時代には、サービス指向アーキテクチャを使用します。このアーキテクチャは、アプリケーションのさまざまな機能ユニットを分割し、サービス間の明確に定義されたインターフェースと契約を通じてそれらを接続します。このアーキテクチャにより、セキュリティ保護がより複雑になります。 IDP、SSL、VPN に対するアプリケーション レベルのファイアウォールと関連する保護が必要です。

クラウド時代では、マイクロサービス アーキテクチャを使用します。マイクロサービス アーキテクチャは、実際には複数のサービスの組み合わせです。これらのサービスはさまざまなポートと複数のアプリケーション API を開くため、ネットワークの攻撃対象領域が拡大し、深刻なセキュリティ上の課題が生じます。この場合、このセキュリティの脅威を克服するには、すべてのマイクロサービスを適切に保護する必要があります。

クラウド時代のセキュリティテストの課題

時代によってセキュリティの観点が異なることを理解した後、従来のセキュリティ テストと比較したクラウド時代のセキュリティ テスト技術が直面する課題を、次の違いから検討してみましょう。

  • マイクロサービス アーキテクチャでは、大量の内部ネットワーク トラフィックと動的で複雑なネットワーク環境がもたらされるため、クラウド ネットワークの内部可視化が非常に低くなり、従来のネットワーク セキュリティ テスト方法では対応できなくなります。
  • リソースの弾力性により、従来のセキュリティ テスト ソリューションが機能し、システムの最終的なセキュリティを効果的にテストすることが困難になります。
  • オープンソース ソフトウェアの脆弱性が多数存在し、内部攻撃が複雑化しており、アプリケーションの急速な反復により、セキュリティ保護のより迅速な実施が求められるようになりました。

クラウド時代が直面するセキュリティ テストの課題により、従来のセキュリティ テストの方法とツールでは、アーキテクチャとテクノロジーの違いにより、それらの課題に効果的に対処できません。たとえば、コンテナの脆弱性の検出、クラウド ネットワーク内を流れる情報の特定、大規模な展開に対するスケーラビリティの欠如などです。したがって、より効果的なセキュリティ テストを実施するには、より高度なテクノロジとツールが必要です。

クラウドネイティブセキュリティテストソリューション

従来のセキュリティ テスト ツールと方法は、クラウド ネイティブ環境でのセキュリティ テストには適用できません。そのため、クラウドネイティブ環境で特別なセキュリティテストツールとテスト方法を導入し、クラウドネイティブネットワークとインフラストラクチャの特性に基づいて新しいセキュリティテストソリューションを設計し、これらの従来のセキュリティテストツールではカバーできない盲点に対処する必要があります。

クラウド ネイティブ セキュリティ テスト ソリューションを設計する前に、まずクラウド ネイティブ セキュリティ テストの内容を理解しておきましょう。

  • インフラストラクチャ レベルでは、ホストとインフラストラクチャのセキュリティ コンプライアンス テスト、Docker/Kubernetes 標準コンプライアンス テスト、イメージの脆弱性、ウイルス スキャン テスト、イメージ監査テスト、クラウド データベースとストレージのセキュリティ テストを実施する必要があります。
  • イメージセキュリティに関しては、イメージの脆弱性とウイルスのスキャン、自動リアルタイムスキャン、サードパーティのログツールの統合テストを実行する必要があります。
  • クラウドネイティブ ネットワーク レベルでは、クラウドネイティブ ネットワーク セキュリティ テスト、Macvaln、Calico、Ovs などのクラウドネイティブ CNI 統合セキュリティ テストなどを実行する必要があります。
  • アプリケーションとコンテナのセキュリティテストに関しては、コンテナのウイルススキャンテストとアプリケーションの脆弱性スキャンテストを実施する必要があります。
  • アプリケーションは実行中は安全です。サービス ランタイム セキュリティ テストと悪意のあるプロセス スキャン テストを実行する必要があります。
  • 同時に、従来の侵入テスト方法を組み合わせて、クラウド ストレージ、データベース、オペレーティング システムに対して適切な侵入テストを実施することもできます。

オープンソースのセキュリティテストツールボックス

上記のクラウドネイティブ セキュリティ テストの内容に基づいて、セキュリティ テストを実行するために、完全にオープン ソース セキュリティ ツールに基づいた一連のテスト ツールに基づいて設計されたテスト ソリューションを導入できます。このセキュリティ テスト ツール セットはオープン ソース セキュリティ テスト ツールボックスと呼ばれ、次のツールが含まれています。

  • NeuVector: クラウドネイティブ インフラストラクチャのトータル セキュリティ
  • イメージ監査、脆弱性およびウイルススキャンテスト: Clair、Anchore、Dagda
  • クラウドネイティブネットワークセキュリティテスト: Kubescape
  • コンテナランタイムセキュリティテスト: Falco
  • コンテナウイルススキャンテスト: ClamAV
  • 侵入テスト: sqlmap、Metasploit

オープンソースのセキュリティ テスト ツールボックスを使用してクラウド ネイティブ セキュリティ テストを実施すると、次のような利点があります。

  • 経済的: オープンソース ツールが使用され、数百万または数千万ドルかかる他の商用ソリューションと比較して、ツールは無料で使用できます。
  • セキュリティ: 金融、政府、軍事などの業界の特別なセキュリティ要件を満たすために、すべての検出ツールのソース コードを表示および取得できます。
  • スケーラビリティと包括性: 何千ものコミュニティ セキュリティ テスト ツールにより、顧客のニーズに応じてクラウド ネイティブ セキュリティ テスト戦略を拡張し、顧客のセキュリティ テストの盲点をすべてカバーできます。
  • 柔軟性: クラウド ネイティブ セキュリティ ソリューションは柔軟にカスタマイズでき、顧客のニーズに応じて最も適切なクラウド ネイティブ セキュリティ テスト戦略を選択できます。

次に、Nginx、Nodejs、Redis を使用してマルチレイヤー アプリケーションをデプロイし、オープン ソース セキュリティ ツール NeuVector を使用して脅威攻撃テストのデモンストレーションと実施を行います。

1. テストデモ名前空間を作成します: kubectl create namespace demo

2. yamlを使用してRedisサービスとデプロイメントを作成する

3. yamlを使用してNodejsサービスとデプロイメントを作成する

4. このyamlを使用してNginxサービスとデプロイメントを作成します

5. 外部からNginxサービスにアクセスし、NodePortによって割り当てられたランダムポート(ポート80にマッピングされている)を見つけます。

6. 次に、いずれかの Kubernetes ノードのパブリック IP アドレス/ポートに接続します。例:

7. コンテナにログインし、コンテナ内に DDos 攻撃ツール hping3 をインストールして、攻撃のシミュレーションを開始します。

8. 別のコンテナノードに攻撃を開始します。

9. 「通知→セキュリティイベント」ページを開いて警告情報を表示します。

出典: 自己展開されたオープンソース セキュリティ テスト環境のスクリーンショット 10。アラーム情報には Ping Death 攻撃コンテナの関連コンテンツが含まれており、NeuVector は違反を自動的に記録します。予想されるテスト結果が実際の結果と一致し、脅威攻撃テスト ケースは合格しました。

クラウドネイティブDevSecOps

DevSecOps は実際には DevOps に基づいてセキュリティ ステップを追加します。 DevSecOps の概念は 2012 年に提案されました。これは、セキュリティ テストの概念を DevOps の全体的な概念に統合します。セキュリティテストの関連コンテンツは、開発および運用プロセス全体を通じて継続的に実行されます。いくつかの機能があり、CI/CD パイプラインと統合してテストの左右シフトを実現します。標準の監視および警報システムに接続して、R&D および実稼働環境で実行されるアプリケーションの 24 時間セキュリティ監視を実現できます。

画像出典: https://www.sohu.com/a/207924559_804262

DevSecOps では、セキュリティはすべてのチームメンバーの責任であることを強調しています。研究開発、テスト、運用・保守のいずれの場合でも、セキュリティの概念は製品のライフサイクル全体にわたって実行されなければなりません。セキュリティ テストの分離、遅延、ランダム性、カバレッジ、変更の一貫性の問題を解決します。プロセスを固めることで、さまざまな担当者間の連携が強化されます。ツールと技術的手段を通じて、自動化および繰り返し実行できるセキュリティ テスト作業の一部が R&D システム全体に統合され、製品のセキュリティ属性を R&D および運用と保守のパイプライン全体に組み込むことができます。

要約する

オープンソースのクラウドネイティブ セキュリティ テスト ツールを侵入テスト ツール、方法、手段と組み合わせて使用​​し、適切に設計されたセキュリティ テスト戦略を通じて、クラウド プラットフォーム インフラストラクチャのコンプライアンス テスト、コンテナー ネットワーク セキュリティ テスト、コンテナー ランタイム セキュリティ テスト、イメージ セキュリティ テストなど、クラウドネイティブ環境に固有のセキュリティ テストを実行できます。これにより、クラウド プラットフォームとクラウド アプリケーションに存在するセキュリティ リスクと隠れた危険性を理解し、関連するセキュリティ リスクと隠れた危険性を修正することで、クラウド プラットフォームとクラウド アプリケーションのセキュリティを継続的に向上させることができます。

<<:  クラウドインフラ開発の動向

>>:  デジタル経済におけるクラウドコンピューティングとビッグデータ技術の応用

推薦する

「上海SEO連盟」はSEO事例分析サイトを収集

上海SEO連盟は、すべてのウェブマスターが独自のURLを提供することを歓迎しており、SEOに興味のあ...

ウェブサイトのデザイン分析: レスポンシブ ページのいくつかの主要コンポーネント

ワイヤレス部門で働く者として、モバイルデバイスを理解しないわけにはいきません。無限の再構築として、レ...

ネットホスティング、無制限のウェブサイト構築、仮想ホスティング、月額 3.95 ドルの支払い(独立した IP の方が安い)

ホスティング プロバイダーの nethosting を紹介したいと思います。今日は主に、同社の仮想ホ...

独立した SEO ブログをどれくらい続けられますか?

2010 年に比較的優秀で有名な独立系 SEO ブログをいくつかチェックしました。14 のブログをチ...

企業がクラウドコンピューティングを正しく利用してビジネスを変革する方法

デジタル時代において、企業のビジネスはデジタル変革を実現する必要があります。いずれにせよ、企業がクラ...

SEO は急速に変化しています。オンラインプロモーションに適応するにはどうすればよいでしょうか?

検索エンジン最適化 (SEO) 業界で働く友人たちは、とても苦労しています。退屈で面倒な作業に対処す...

爆発!中国、米国、日本、韓国、英国、ドイツ、フランスの7大市場の「所得」ランキングが発表される

最近、編集者は世界のモバイルアプリケーション市場に関するデータを入手し、6月の主要市場におけるiOS...

CIOはROIを実現するためにクラウドとデータに的を絞ったアプローチを必要としている

CIO は、特に小売業やサービス業において、クラウドと分析を活用してデジタルの進歩をリードする傾向が...

クラウド コンピューティング ハードウェアに関する 8 つの隠された秘密

コードはどこで実行されていますか?何が実行されていますか? また、なぜ中断されるのですか?私たちには...

Pinterest の B2B マーケティング戦略の簡単な分析

インターネットの急速な発展に伴い、ビッグデータの時代が静かに到来しました。しかし、膨大なデータ情報は...

QQドリフトボトルを外部リンクとして使用する場合は、実行する前に慎重に検討し、盲目的にトレンドに従わないでください。

最近、インターネット上で「QQドリフトボトルを巧みに利用して外部リンクを作る」という方法が広まってい...

インターネットブランドの法的保護と育成 - ドメイン名

ドメイン名はインターネット企業にとって間違いなく大きな意味を持ちます。有名なソーシャル ネットワーキ...

注: 今年最後の乾物、特別オファーの整理 - 仮想ホスト/VPS/サーバー

今年ももうすぐ終わり、クリスマスとボクシングデーが次々とやって来ます。今年最後の時期に、皆様ができる...

削除されたファイルを復元する方法

日常生活で電子機器を使用するとき、誤ってファイルを削除したり、コンピューターを他人に貸したときに相手...