クラウドネイティブのセキュリティテストを調べる

著者 |パン・リフェン

背景

コンテナとクラウドネイティブ プラットフォームにより、企業はアプリケーションの展開を自動化できるようになり、ビジネスに大きなメリットをもたらします。ただし、新しく導入されたクラウド環境は、従来の環境と同様に、ハッカーや内部者による攻撃や悪用に対して脆弱です。ランサムウェア、暗号通貨マイニング、データ盗難、サービス中断攻撃は、コンテナベースのクラウドネイティブ環境を標的にし続けています。クラウド プラットフォームのセキュリティ上の欠陥が原因で大規模なネットワーク セキュリティ インシデントが頻繁に発生しているため、クラウド プラットフォームでのセキュリティ テストは特に重要です。

サイバーセキュリティインシデント関連事例:

• 2017年、サイバーセキュリティの問題により、アメリカの信用調査会社Equifaxから約1億4,800万人のアメリカ国民のデータが漏洩しました。 （出典：新華網）
• 2018年、テスラのクラウドサーバーがハッカーに乗っ取られ、暗号通貨のマイニングマシンにされ、機密データが漏洩した。 （出典：NetEase）
• 2022年、HSBCのオンラインバンキングはサービス拒否（DDOS）攻撃を受け、1か月足らずの間に2度も麻痺状態に陥った。 (出典: Safe Dog)

クラウド時代のセキュリティ観点

では、クラウドネイティブ環境でセキュリティ テストを実施するにはどうすればよいでしょうか?まず、時代によってセキュリティの観点やセキュリティ テストの優先順位が異なることを理解しましょう。

モノリシック端末アーキテクチャの時代では、すべてのビジネス シナリオのプレゼンテーション層、ビジネス ロジック層、データ アクセス層が 1 つのプロジェクトに配置され、コンパイル、パッケージ化されてサーバー上に展開されます。構造は比較的単純で、保護も比較的容易です。

インターネットの時代には、サービス指向アーキテクチャを使用します。このアーキテクチャは、アプリケーションのさまざまな機能ユニットを分割し、サービス間の明確に定義されたインターフェースと契約を通じてそれらを接続します。このアーキテクチャにより、セキュリティ保護がより複雑になります。 IDP、SSL、VPN に対するアプリケーション レベルのファイアウォールと関連する保護が必要です。

クラウド時代では、マイクロサービス アーキテクチャを使用します。マイクロサービス アーキテクチャは、実際には複数のサービスの組み合わせです。これらのサービスはさまざまなポートと複数のアプリケーション API を開くため、ネットワークの攻撃対象領域が拡大し、深刻なセキュリティ上の課題が生じます。この場合、このセキュリティの脅威を克服するには、すべてのマイクロサービスを適切に保護する必要があります。

クラウド時代のセキュリティテストの課題

時代によってセキュリティの観点が異なることを理解した後、従来のセキュリティ テストと比較したクラウド時代のセキュリティ テスト技術が直面する課題を、次の違いから検討してみましょう。

• マイクロサービス アーキテクチャでは、大量の内部ネットワーク トラフィックと動的で複雑なネットワーク環境がもたらされるため、クラウド ネットワークの内部可視化が非常に低くなり、従来のネットワーク セキュリティ テスト方法では対応できなくなります。
• リソースの弾力性により、従来のセキュリティ テスト ソリューションが機能し、システムの最終的なセキュリティを効果的にテストすることが困難になります。
• オープンソース ソフトウェアの脆弱性が多数存在し、内部攻撃が複雑化しており、アプリケーションの急速な反復により、セキュリティ保護のより迅速な実施が求められるようになりました。

クラウド時代が直面するセキュリティ テストの課題により、従来のセキュリティ テストの方法とツールでは、アーキテクチャとテクノロジーの違いにより、それらの課題に効果的に対処できません。たとえば、コンテナの脆弱性の検出、クラウド ネットワーク内を流れる情報の特定、大規模な展開に対するスケーラビリティの欠如などです。したがって、より効果的なセキュリティ テストを実施するには、より高度なテクノロジとツールが必要です。

クラウドネイティブセキュリティテストソリューション

従来のセキュリティ テスト ツールと方法は、クラウド ネイティブ環境でのセキュリティ テストには適用できません。そのため、クラウドネイティブ環境で特別なセキュリティテストツールとテスト方法を導入し、クラウドネイティブネットワークとインフラストラクチャの特性に基づいて新しいセキュリティテストソリューションを設計し、これらの従来のセキュリティテストツールではカバーできない盲点に対処する必要があります。

クラウド ネイティブ セキュリティ テスト ソリューションを設計する前に、まずクラウド ネイティブ セキュリティ テストの内容を理解しておきましょう。

• インフラストラクチャ レベルでは、ホストとインフラストラクチャのセキュリティ コンプライアンス テスト、Docker/Kubernetes 標準コンプライアンス テスト、イメージの脆弱性、ウイルス スキャン テスト、イメージ監査テスト、クラウド データベースとストレージのセキュリティ テストを実施する必要があります。
• イメージセキュリティに関しては、イメージの脆弱性とウイルスのスキャン、自動リアルタイムスキャン、サードパーティのログツールの統合テストを実行する必要があります。
• クラウドネイティブ ネットワーク レベルでは、クラウドネイティブ ネットワーク セキュリティ テスト、Macvaln、Calico、Ovs などのクラウドネイティブ CNI 統合セキュリティ テストなどを実行する必要があります。
• アプリケーションとコンテナのセキュリティテストに関しては、コンテナのウイルススキャンテストとアプリケーションの脆弱性スキャンテストを実施する必要があります。
• アプリケーションは実行中は安全です。サービス ランタイム セキュリティ テストと悪意のあるプロセス スキャン テストを実行する必要があります。
• 同時に、従来の侵入テスト方法を組み合わせて、クラウド ストレージ、データベース、オペレーティング システムに対して適切な侵入テストを実施することもできます。

オープンソースのセキュリティテストツールボックス

上記のクラウドネイティブ セキュリティ テストの内容に基づいて、セキュリティ テストを実行するために、完全にオープン ソース セキュリティ ツールに基づいた一連のテスト ツールに基づいて設計されたテスト ソリューションを導入できます。このセキュリティ テスト ツール セットはオープン ソース セキュリティ テスト ツールボックスと呼ばれ、次のツールが含まれています。

• NeuVector: クラウドネイティブ インフラストラクチャのトータル セキュリティ
• イメージ監査、脆弱性およびウイルススキャンテスト: Clair、Anchore、Dagda
• クラウドネイティブネットワークセキュリティテスト: Kubescape
• コンテナランタイムセキュリティテスト: Falco
• コンテナウイルススキャンテスト: ClamAV
• 侵入テスト: sqlmap、Metasploit

オープンソースのセキュリティ テスト ツールボックスを使用してクラウド ネイティブ セキュリティ テストを実施すると、次のような利点があります。

• 経済的: オープンソース ツールが使用され、数百万または数千万ドルかかる他の商用ソリューションと比較して、ツールは無料で使用できます。
• セキュリティ: 金融、政府、軍事などの業界の特別なセキュリティ要件を満たすために、すべての検出ツールのソース コードを表示および取得できます。
• スケーラビリティと包括性: 何千ものコミュニティ セキュリティ テスト ツールにより、顧客のニーズに応じてクラウド ネイティブ セキュリティ テスト戦略を拡張し、顧客のセキュリティ テストの盲点をすべてカバーできます。
• 柔軟性: クラウド ネイティブ セキュリティ ソリューションは柔軟にカスタマイズでき、顧客のニーズに応じて最も適切なクラウド ネイティブ セキュリティ テスト戦略を選択できます。

次に、Nginx、Nodejs、Redis を使用してマルチレイヤー アプリケーションをデプロイし、オープン ソース セキュリティ ツール NeuVector を使用して脅威攻撃テストのデモンストレーションと実施を行います。

1. テストデモ名前空間を作成します: kubectl create namespace demo

2. yamlを使用してRedisサービスとデプロイメントを作成する

3. yamlを使用してNodejsサービスとデプロイメントを作成する

4. このyamlを使用してNginxサービスとデプロイメントを作成します

5. 外部からNginxサービスにアクセスし、NodePortによって割り当てられたランダムポート（ポート80にマッピングされている）を見つけます。

6. 次に、いずれかの Kubernetes ノードのパブリック IP アドレス/ポートに接続します。例:

7. コンテナにログインし、コンテナ内に DDos 攻撃ツール hping3 をインストールして、攻撃のシミュレーションを開始します。

8. 別のコンテナノードに攻撃を開始します。

9. 「通知→セキュリティイベント」ページを開いて警告情報を表示します。

出典: 自己展開されたオープンソース セキュリティ テスト環境のスクリーンショット 10。アラーム情報には Ping Death 攻撃コンテナの関連コンテンツが含まれており、NeuVector は違反を自動的に記録します。予想されるテスト結果が実際の結果と一致し、脅威攻撃テスト ケースは合格しました。

クラウドネイティブDevSecOps

DevSecOps は実際には DevOps に基づいてセキュリティ ステップを追加します。 DevSecOps の概念は 2012 年に提案されました。これは、セキュリティ テストの概念を DevOps の全体的な概念に統合します。セキュリティテストの関連コンテンツは、開発および運用プロセス全体を通じて継続的に実行されます。いくつかの機能があり、CI/CD パイプラインと統合してテストの左右シフトを実現します。標準の監視および警報システムに接続して、R&D および実稼働環境で実行されるアプリケーションの 24 時間セキュリティ監視を実現できます。

画像出典: https://www.sohu.com/a/207924559_804262

DevSecOps では、セキュリティはすべてのチームメンバーの責任であることを強調しています。研究開発、テスト、運用・保守のいずれの場合でも、セキュリティの概念は製品のライフサイクル全体にわたって実行されなければなりません。セキュリティ テストの分離、遅延、ランダム性、カバレッジ、変更の一貫性の問題を解決します。プロセスを固めることで、さまざまな担当者間の連携が強化されます。ツールと技術的手段を通じて、自動化および繰り返し実行できるセキュリティ テスト作業の一部が R&D システム全体に統合され、製品のセキュリティ属性を R&D および運用と保守のパイプライン全体に組み込むことができます。

要約する

オープンソースのクラウドネイティブ セキュリティ テスト ツールを侵入テスト ツール、方法、手段と組み合わせて使用​​し、適切に設計されたセキュリティ テスト戦略を通じて、クラウド プラットフォーム インフラストラクチャのコンプライアンス テスト、コンテナー ネットワーク セキュリティ テスト、コンテナー ランタイム セキュリティ テスト、イメージ セキュリティ テストなど、クラウドネイティブ環境に固有のセキュリティ テストを実行できます。これにより、クラウド プラットフォームとクラウド アプリケーションに存在するセキュリティ リスクと隠れた危険性を理解し、関連するセキュリティ リスクと隠れた危険性を修正することで、クラウド プラットフォームとクラウド アプリケーションのセキュリティを継続的に向上させることができます。