コンテナが攻撃されたときの対処方法: インシデント対応計画

翻訳者 |趙青棠

校正：孫淑娟

コンテナは、コード、構成ファイル、ライブラリ、システム ツールなど、あらゆるオペレーティング システムおよびインフラストラクチャ上で実行するために必要なすべての依存関係が含まれるソフトウェア パッケージです。各コンテナには、物理​​マシンからクラウドなど、さまざまなコンピューティング環境間でアプリケーションを移動できるようにするランタイム環境が含まれています。

コンテナには多くの利点がありますが、セキュリティ上の重大な課題も生じます。コンテナは、異なるセキュリティ対策、対応戦略、フォレンジック手法を必要とする新たな攻撃対象領域をもたらします。コンテナ インシデント対応は、コンテナ セキュリティ インシデントに対応するための標準化されたアプローチです。

インシデント対応は、ネットワーク リソースや情報資産に影響を及ぼすセキュリティ イベントを検出し、適切な手順を実行して評価および修復するセキュリティ機能です。セキュリティ インシデントには、マルウェア感染、資格情報の漏洩、データベース侵害などがあります。コンテナ インシデント対応は、コンテナ化されたワークロードに対するセキュリティの脅威を防止、封じ込め、修復、および防止するのに役立ちます。

コンテナセキュリティがなぜ重要なのか

コンテナは DevOps パイプラインの軽量なビルディング ブロックとして広く使用されており、コンテナ セキュリティは現代の IT セキュリティ戦略の重要な部分となっています。仮想マシン (VM) と同様に、コンテナーには、オペレーティング システムの設計に従って、環境に関係なく、アプリケーションを実行するために必要なすべてのもの (コード、プログラム ランタイム、ツール、ライブラリ、構成情報) が含まれます。 VM とは異なり、移植性が高く、起動が速く、消費するリソースがはるかに少なくなります。

Docker や Kubernetes などのコンテナ プラットフォームには基本的なセキュリティ制御が含まれていますが、コンテナ化されたアプリケーションの開発には、脆弱な可能性のあるサードパーティのソフトウェア コンポーネントが含まれることがよくあります。さらに、Docker と Kubernetes はデフォルトでは安全ではないため、安全な構成を確保することが重要であり、規模が大きくなると複雑になる可能性があります。

コンテナは、ホストの分離を回避できる悪意のあるプロセスに対して脆弱です。さらに、コンテナは、攻撃者によって改ざんされる可能性のあるイメージに基づいていたり、古いソフトウェア コンポーネントや脆弱なソフトウェア コンポーネントが含まれている可能性があります。コンテナが安全でない場合、コンテナ内で他の許可されていないコンテナやアプリケーションが実行され、極端な場合には、攻撃者がホストマシンやコンテナ クラスター全体を侵害する可能性があります。

クラウドネイティブ環境でフォレンジックが異なる理由

フォレンジックは、情報セキュリティ全般、特にインシデント対応において重要な部分です。これは新興分野であり、現在では DFIR (デジタルフォレンジックとインシデント対応) を中心とした専門的なツールやセキュリティ認定が存在します。

疑わしいイベントが発生した場合、セキュリティ アナリストは、何が起こったのかを理解し、そのイベントが真のセキュリティ インシデントであるかどうかを判断し、脅威を封じ込めて排除するために必要な情報を収集するために、迅速なフォレンジック調査を実行する必要があります。

開発者がコードを高頻度で展開するにつれて、フォレンジック調査の実行が困難になります。数か月間そのまま放置できる物理サーバーや仮想マシンとは異なり、コンテナーは、オーケストレーターがいつでも起動およびシャットダウンできる軽量の一時的なコンピューティング タスクです。コンテナの有効期間は数分または数秒と短い場合もありますが、通常は数時間単位で測定されます。サーバーレス関数のライフサイクルははるかに短く、たとえば、AWS Lambda 関数は 1 回の実行につき最大 15 分間しか実行できません。

これらの非常に短いライフサイクルは、セキュリティ、可視性、フォレンジックに大きな影響を与えます。コンテナは一時的なものであるため、コンテナのファイル システムに書き込まれたデータは、通常、コンテナがシャットダウンされると削除されます (明示的に別の場所に保存されない限り)。 Kubernetes などのツールは、ホスト上のワークロードを自動的にスケジュールし、ホスト間でワークロードを動的に移動します。つまり、チームはアプリケーションがどのホストで実行されるかを事前に決定できないことがよくあります。

クラウドネイティブ環境でフォレンジックを有効にするには、高度に動的な環境で関連ログ データをキャプチャし、複数のクラウドと最大数千のホストで実行される一時的なワークロードをサポートできる戦略とテクノロジがチームに必要です。

コンテナフォレンジックインシデント対応計画の構築

コンテナ インシデント対応計画を策定する際に考慮すべき主な重点領域は 3 つあります。

予防

予防策を講じることで、コンテナの攻撃対象領域を減らすことができます。たとえば、コンテナに対するルート アクセスは提供せず、kubectl および Kubernetes API へのアクセスを制限し、Kubernetes が最新バージョンで実行され、クラスターの構成が強化されていることを確認する必要があります。

システム メトリックの収集に役立つ Docker Statistics API など、Kubernetes で利用可能なセキュリティ ツールを活用することが重要です。システム メトリックは、大規模に実行されているときにコンテナーの負荷がシステムにどのような影響を与えるかを理解する必要があるアナリストにとって役立ちます。

これらのメトリックに基づいて、DevOps チームとセキュリティ チームは、コンテナとポッド内で何が起こっているかを理解できます。たとえば、機密ファイルが欠落していないか、コンテナに不明なファイルが追加されていないかを判断したり、リアルタイムのネットワーク トラフィックを監視したり、コンテナまたはアプリケーション レベルで異常な動作を識別したりできます。

データの保持と調査

事故が発生した場合、さらなる調査のために必要な証拠を保存することが重要です。

• 侵害されていると思われるノードまたはコンテナをシャットダウンしないでください。これでは根本的な原因を特定することは不可能です。
• スナップショット テクノロジーを使用して、感染が疑われる実行中のコンテナをバックアップします。
• 重要な証拠を特定し、根本的な原因と影響を理解するために十分な可視性を獲得します。できるだけ多くのデータ ソースを分析してみてください。

インシデント対応計画

コンテナが攻撃された場合に備えて、次のベスト プラクティスを使用してください。

• 重大なインシデントが発生した場合、インシデント対応リーダーを割り当て、主要な意思決定者として機能します。
• さまざまな種類のセキュリティ インシデントに対して、明確な手順を含むインシデント対応計画を定義します。
• 違反が発生したときに対応者が使用する必要がある通信およびエスカレーション チャネルを定義します。
• 指定された期間内に違反を報告することを要求する可能性のある法的義務およびコンプライアンス義務に注意してください。
• レッドチームの演習と評価を実施して、セキュリティ防御を継続的に改善し、実際のインシデントに備えます。

要約する

この記事では、コンテナ セキュリティとインシデント対応の基本を紹介し、コンテナ フォレンジックの基礎を説明し、コンテナ インシデント対応計画の 3 つの構成要素を示しました。

• 予防策 – 攻撃対象領域を減らし、そもそもコンテナへの攻撃を防ぐために実行できる手順。
• データの保存と調査 – 攻撃が発生した場合に、調査と対応のためにコンテナーにデータを保存できるようにします。
• インシデント対応計画 – コンテナのインシデント対応の責任者、攻撃発生時に取るべき手順、計画の有効性を確認するためのテスト方法を定義する計画を作成します。

これが、クラウド ネイティブ環境を標的とする脅威への組織の対応能力の向上に役立つことを願っています。

翻訳者について

51CTO コミュニティ エディターの Zhao Qingtiao 氏は、長年にわたりドライバー開発に携わってきました。彼の研究対象にはセキュア OS とネットワーク セキュリティが含まれており、ネットワーク関連の特許も公開しています。

原題:コンテナが攻撃されたときの対処法: インシデント対応計画、著者: Sagar Nangare