翻訳者 |趙青棠 校正:孫淑娟 コンテナは、コード、構成ファイル、ライブラリ、システム ツールなど、あらゆるオペレーティング システムおよびインフラストラクチャ上で実行するために必要なすべての依存関係が含まれるソフトウェア パッケージです。各コンテナには、物理マシンからクラウドなど、さまざまなコンピューティング環境間でアプリケーションを移動できるようにするランタイム環境が含まれています。 コンテナには多くの利点がありますが、セキュリティ上の重大な課題も生じます。コンテナは、異なるセキュリティ対策、対応戦略、フォレンジック手法を必要とする新たな攻撃対象領域をもたらします。コンテナ インシデント対応は、コンテナ セキュリティ インシデントに対応するための標準化されたアプローチです。 インシデント対応は、ネットワーク リソースや情報資産に影響を及ぼすセキュリティ イベントを検出し、適切な手順を実行して評価および修復するセキュリティ機能です。セキュリティ インシデントには、マルウェア感染、資格情報の漏洩、データベース侵害などがあります。コンテナ インシデント対応は、コンテナ化されたワークロードに対するセキュリティの脅威を防止、封じ込め、修復、および防止するのに役立ちます。 コンテナセキュリティがなぜ重要なのかコンテナは DevOps パイプラインの軽量なビルディング ブロックとして広く使用されており、コンテナ セキュリティは現代の IT セキュリティ戦略の重要な部分となっています。仮想マシン (VM) と同様に、コンテナーには、オペレーティング システムの設計に従って、環境に関係なく、アプリケーションを実行するために必要なすべてのもの (コード、プログラム ランタイム、ツール、ライブラリ、構成情報) が含まれます。 VM とは異なり、移植性が高く、起動が速く、消費するリソースがはるかに少なくなります。 Docker や Kubernetes などのコンテナ プラットフォームには基本的なセキュリティ制御が含まれていますが、コンテナ化されたアプリケーションの開発には、脆弱な可能性のあるサードパーティのソフトウェア コンポーネントが含まれることがよくあります。さらに、Docker と Kubernetes はデフォルトでは安全ではないため、安全な構成を確保することが重要であり、規模が大きくなると複雑になる可能性があります。 コンテナは、ホストの分離を回避できる悪意のあるプロセスに対して脆弱です。さらに、コンテナは、攻撃者によって改ざんされる可能性のあるイメージに基づいていたり、古いソフトウェア コンポーネントや脆弱なソフトウェア コンポーネントが含まれている可能性があります。コンテナが安全でない場合、コンテナ内で他の許可されていないコンテナやアプリケーションが実行され、極端な場合には、攻撃者がホストマシンやコンテナ クラスター全体を侵害する可能性があります。 クラウドネイティブ環境でフォレンジックが異なる理由フォレンジックは、情報セキュリティ全般、特にインシデント対応において重要な部分です。これは新興分野であり、現在では DFIR (デジタルフォレンジックとインシデント対応) を中心とした専門的なツールやセキュリティ認定が存在します。 疑わしいイベントが発生した場合、セキュリティ アナリストは、何が起こったのかを理解し、そのイベントが真のセキュリティ インシデントであるかどうかを判断し、脅威を封じ込めて排除するために必要な情報を収集するために、迅速なフォレンジック調査を実行する必要があります。 開発者がコードを高頻度で展開するにつれて、フォレンジック調査の実行が困難になります。数か月間そのまま放置できる物理サーバーや仮想マシンとは異なり、コンテナーは、オーケストレーターがいつでも起動およびシャットダウンできる軽量の一時的なコンピューティング タスクです。コンテナの有効期間は数分または数秒と短い場合もありますが、通常は数時間単位で測定されます。サーバーレス関数のライフサイクルははるかに短く、たとえば、AWS Lambda 関数は 1 回の実行につき最大 15 分間しか実行できません。 これらの非常に短いライフサイクルは、セキュリティ、可視性、フォレンジックに大きな影響を与えます。コンテナは一時的なものであるため、コンテナのファイル システムに書き込まれたデータは、通常、コンテナがシャットダウンされると削除されます (明示的に別の場所に保存されない限り)。 Kubernetes などのツールは、ホスト上のワークロードを自動的にスケジュールし、ホスト間でワークロードを動的に移動します。つまり、チームはアプリケーションがどのホストで実行されるかを事前に決定できないことがよくあります。 クラウドネイティブ環境でフォレンジックを有効にするには、高度に動的な環境で関連ログ データをキャプチャし、複数のクラウドと最大数千のホストで実行される一時的なワークロードをサポートできる戦略とテクノロジがチームに必要です。 コンテナフォレンジックインシデント対応計画の構築コンテナ インシデント対応計画を策定する際に考慮すべき主な重点領域は 3 つあります。 予防予防策を講じることで、コンテナの攻撃対象領域を減らすことができます。たとえば、コンテナに対するルート アクセスは提供せず、kubectl および Kubernetes API へのアクセスを制限し、Kubernetes が最新バージョンで実行され、クラスターの構成が強化されていることを確認する必要があります。 システム メトリックの収集に役立つ Docker Statistics API など、Kubernetes で利用可能なセキュリティ ツールを活用することが重要です。システム メトリックは、大規模に実行されているときにコンテナーの負荷がシステムにどのような影響を与えるかを理解する必要があるアナリストにとって役立ちます。 これらのメトリックに基づいて、DevOps チームとセキュリティ チームは、コンテナとポッド内で何が起こっているかを理解できます。たとえば、機密ファイルが欠落していないか、コンテナに不明なファイルが追加されていないかを判断したり、リアルタイムのネットワーク トラフィックを監視したり、コンテナまたはアプリケーション レベルで異常な動作を識別したりできます。 データの保持と調査事故が発生した場合、さらなる調査のために必要な証拠を保存することが重要です。
インシデント対応計画コンテナが攻撃された場合に備えて、次のベスト プラクティスを使用してください。
要約するこの記事では、コンテナ セキュリティとインシデント対応の基本を紹介し、コンテナ フォレンジックの基礎を説明し、コンテナ インシデント対応計画の 3 つの構成要素を示しました。
これが、クラウド ネイティブ環境を標的とする脅威への組織の対応能力の向上に役立つことを願っています。 翻訳者について51CTO コミュニティ エディターの Zhao Qingtiao 氏は、長年にわたりドライバー開発に携わってきました。彼の研究対象にはセキュア OS とネットワーク セキュリティが含まれており、ネットワーク関連の特許も公開しています。 原題:コンテナが攻撃されたときの対処法: インシデント対応計画、著者: Sagar Nangare |
<<: クラウドネイティブ Docker コンテナ ホスト間指定 IP 通信
>>: Docker初心者に朗報:Dockerコマンドリスト、とにかくやってみる
2013年、Baiduのアルゴリズムは頻繁に更新されましたが、編集者は、Baiduのアルゴリズムがど...
メタバースの概念は、1992 年に SF 作家スティーブンソンが書いた SF 小説「スノウ クラッシ...
A5 Webmaster Network で一生懸命記事を書き、オリジナル作品を真剣に公開しているラ...
多くの新しいウェブサイトは、Baidu に組み込むのが難しいと推定されています。Baidu 6.28...
多くの企業は、まず新しいテクノロジーを導入することを選択し、その後行き詰まり、自社のビジネスに実際に...
henghost(恒創科技)は618年中旬特別キャンペーンを開始しました。今から6月30日まで、香港...
gbservers は 2007 年に設立されたイギリスの VPS 業者です。米国と英国に 2 つの...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス業界ではよく知られている...
「手下」、「魚のボス」、変装、闇取引。これは決まりきったスパイ映画ではなく、数え切れないほどのプレイ...
2月22日夜のニュース、アリババグループ会長ジャック・マー氏は「2013ヤブリ中国企業家フォーラム」...
エンタープライズ クラウド コンピューティングは止められない開発トレンドとなっています。工業情報化部...
ローカル ポータルの成功した運用モデルを複製できます。もちろん、すべてをコピーするだけではだめで、地...
Enterprise Management Associates (EMA) の最近の調査では、企業...
1. 背景紹介: 多くの学生はKafkaパラメータを理解していない今日は非常に興味深い話題について...
グループでウェブサイトを構築する場合、たとえチームが 2 人しかいなくても、注意が必要です。実行と意...