翻訳者 |趙青棠 校正:孫淑娟 コンテナは、コード、構成ファイル、ライブラリ、システム ツールなど、あらゆるオペレーティング システムおよびインフラストラクチャ上で実行するために必要なすべての依存関係が含まれるソフトウェア パッケージです。各コンテナには、物理マシンからクラウドなど、さまざまなコンピューティング環境間でアプリケーションを移動できるようにするランタイム環境が含まれています。 コンテナには多くの利点がありますが、セキュリティ上の重大な課題も生じます。コンテナは、異なるセキュリティ対策、対応戦略、フォレンジック手法を必要とする新たな攻撃対象領域をもたらします。コンテナ インシデント対応は、コンテナ セキュリティ インシデントに対応するための標準化されたアプローチです。 インシデント対応は、ネットワーク リソースや情報資産に影響を及ぼすセキュリティ イベントを検出し、適切な手順を実行して評価および修復するセキュリティ機能です。セキュリティ インシデントには、マルウェア感染、資格情報の漏洩、データベース侵害などがあります。コンテナ インシデント対応は、コンテナ化されたワークロードに対するセキュリティの脅威を防止、封じ込め、修復、および防止するのに役立ちます。 コンテナセキュリティがなぜ重要なのかコンテナは DevOps パイプラインの軽量なビルディング ブロックとして広く使用されており、コンテナ セキュリティは現代の IT セキュリティ戦略の重要な部分となっています。仮想マシン (VM) と同様に、コンテナーには、オペレーティング システムの設計に従って、環境に関係なく、アプリケーションを実行するために必要なすべてのもの (コード、プログラム ランタイム、ツール、ライブラリ、構成情報) が含まれます。 VM とは異なり、移植性が高く、起動が速く、消費するリソースがはるかに少なくなります。 Docker や Kubernetes などのコンテナ プラットフォームには基本的なセキュリティ制御が含まれていますが、コンテナ化されたアプリケーションの開発には、脆弱な可能性のあるサードパーティのソフトウェア コンポーネントが含まれることがよくあります。さらに、Docker と Kubernetes はデフォルトでは安全ではないため、安全な構成を確保することが重要であり、規模が大きくなると複雑になる可能性があります。 コンテナは、ホストの分離を回避できる悪意のあるプロセスに対して脆弱です。さらに、コンテナは、攻撃者によって改ざんされる可能性のあるイメージに基づいていたり、古いソフトウェア コンポーネントや脆弱なソフトウェア コンポーネントが含まれている可能性があります。コンテナが安全でない場合、コンテナ内で他の許可されていないコンテナやアプリケーションが実行され、極端な場合には、攻撃者がホストマシンやコンテナ クラスター全体を侵害する可能性があります。 クラウドネイティブ環境でフォレンジックが異なる理由フォレンジックは、情報セキュリティ全般、特にインシデント対応において重要な部分です。これは新興分野であり、現在では DFIR (デジタルフォレンジックとインシデント対応) を中心とした専門的なツールやセキュリティ認定が存在します。 疑わしいイベントが発生した場合、セキュリティ アナリストは、何が起こったのかを理解し、そのイベントが真のセキュリティ インシデントであるかどうかを判断し、脅威を封じ込めて排除するために必要な情報を収集するために、迅速なフォレンジック調査を実行する必要があります。 開発者がコードを高頻度で展開するにつれて、フォレンジック調査の実行が困難になります。数か月間そのまま放置できる物理サーバーや仮想マシンとは異なり、コンテナーは、オーケストレーターがいつでも起動およびシャットダウンできる軽量の一時的なコンピューティング タスクです。コンテナの有効期間は数分または数秒と短い場合もありますが、通常は数時間単位で測定されます。サーバーレス関数のライフサイクルははるかに短く、たとえば、AWS Lambda 関数は 1 回の実行につき最大 15 分間しか実行できません。 これらの非常に短いライフサイクルは、セキュリティ、可視性、フォレンジックに大きな影響を与えます。コンテナは一時的なものであるため、コンテナのファイル システムに書き込まれたデータは、通常、コンテナがシャットダウンされると削除されます (明示的に別の場所に保存されない限り)。 Kubernetes などのツールは、ホスト上のワークロードを自動的にスケジュールし、ホスト間でワークロードを動的に移動します。つまり、チームはアプリケーションがどのホストで実行されるかを事前に決定できないことがよくあります。 クラウドネイティブ環境でフォレンジックを有効にするには、高度に動的な環境で関連ログ データをキャプチャし、複数のクラウドと最大数千のホストで実行される一時的なワークロードをサポートできる戦略とテクノロジがチームに必要です。 コンテナフォレンジックインシデント対応計画の構築コンテナ インシデント対応計画を策定する際に考慮すべき主な重点領域は 3 つあります。 予防予防策を講じることで、コンテナの攻撃対象領域を減らすことができます。たとえば、コンテナに対するルート アクセスは提供せず、kubectl および Kubernetes API へのアクセスを制限し、Kubernetes が最新バージョンで実行され、クラスターの構成が強化されていることを確認する必要があります。 システム メトリックの収集に役立つ Docker Statistics API など、Kubernetes で利用可能なセキュリティ ツールを活用することが重要です。システム メトリックは、大規模に実行されているときにコンテナーの負荷がシステムにどのような影響を与えるかを理解する必要があるアナリストにとって役立ちます。 これらのメトリックに基づいて、DevOps チームとセキュリティ チームは、コンテナとポッド内で何が起こっているかを理解できます。たとえば、機密ファイルが欠落していないか、コンテナに不明なファイルが追加されていないかを判断したり、リアルタイムのネットワーク トラフィックを監視したり、コンテナまたはアプリケーション レベルで異常な動作を識別したりできます。 データの保持と調査事故が発生した場合、さらなる調査のために必要な証拠を保存することが重要です。
インシデント対応計画コンテナが攻撃された場合に備えて、次のベスト プラクティスを使用してください。
要約するこの記事では、コンテナ セキュリティとインシデント対応の基本を紹介し、コンテナ フォレンジックの基礎を説明し、コンテナ インシデント対応計画の 3 つの構成要素を示しました。
これが、クラウド ネイティブ環境を標的とする脅威への組織の対応能力の向上に役立つことを願っています。 翻訳者について51CTO コミュニティ エディターの Zhao Qingtiao 氏は、長年にわたりドライバー開発に携わってきました。彼の研究対象にはセキュア OS とネットワーク セキュリティが含まれており、ネットワーク関連の特許も公開しています。 原題:コンテナが攻撃されたときの対処法: インシデント対応計画、著者: Sagar Nangare |
<<: クラウドネイティブ Docker コンテナ ホスト間指定 IP 通信
>>: Docker初心者に朗報:Dockerコマンドリスト、とにかくやってみる
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますA5ベンチ...
「21世紀に最も大切なものは何でしょうか?それは才能です!」ゲーおじさんはかつて『泥棒のいない世界』...
Pacificrack の元旦プロモーションが予定通り 1 月 1 日から 10 日間実施されます。...
Baidu は数日前に大規模なアップデートを実施し、インデックスされたウェブサイトの数と外部リンクの...
却下の理由: 記事が読みにくい。引き続き作業を続けてください。フォーラムのプロモーションとなると、多...
インターネット評論家のデイブ・ペル氏(写真提供:テンセント・テクノロジー)テンセントテクノロジーニュ...
コンセプト仮想マシン: 完全なハードウェア システム機能をシミュレートし、完全に分離された環境でソフ...
クラウド コンピューティングとクラウドには共通点があります。クラウドコンピューティングのリソース使用...
NEC(中国)は、中国国内の従業員の人事情報をより適切に管理し、従業員の総合的な資質を向上させるとと...
woothostingが最後にVPSを宣伝したのは4月1日、「wootHosting-年間15ドルの...
[51CTO.com クイック翻訳] クラウドコンピューティング変革の波は、企業の発展を推進し続けて...
これまで、私は SEO 最適化の作業に携わって 1 か月も経っていません。多くの熱心な SEO ファ...
近年、SEO専門家はウェブサイトのホームページのBaiduスナップショット(つまり、ウェブサイトのホ...
gRPC サービスを Kubernetes クラスターにデプロイしようとするときに一部のユーザー (...
APPプロモーションチャネルでは不正行為が頻繁に発生します。今日は、APPプロモーションの不正行為防...