早速始めましょう。この記事では、クラウドネイティブ時代のコンテナセキュリティについて理解を深めていきます。

国内需要はセキュリティに配慮するどころか、コンテナ化にはまだまだ遠いと言われている。音は大きいですが、実装は困難です。しかし、将来を楽しみにする声は常にあるはずです。

2020 年の Forrester IaaS セキュリティ評価では、Alibaba Cloud Container Security が Google と並んで満点を獲得し、技術力で市場をリードしました。 Alibaba Cloud は、クラウドネイティブ セキュリティや、クラウドネイティブ セキュリティの重要な要素であるコンテナ セキュリティなど、クラウド コンピューティングのあらゆる分野で常に技術の一歩先を進んでいます。

この記事では、Alibaba Cloud のコンテナ セキュリティ ガバナンス機能と経験をまとめ、クラウド ネイティブ時代に出現したコンテナ セキュリティの新機能を紹介します。コンテナのセキュリティを完全に理解し、将来の運用環境のセキュリティを保護するのに役立ちます。

Alibaba Cloud が前進するにつれて、まずコンテナとは何か、そしてコンテナとクラウド ネイティブの関係について理解しましょう。

コンテナを理解するための第一歩: クラウドネイティブな「構築」の基礎

2010 年に、クラウド ネイティブの概念は、WSO2 の CTO である Paul Fremantle のブログで初めて言及されました。その後、Pivo​​tal や CNCF などの組織によって補完され、DevOps、継続的デリバリー、マイクロサービス、コンテナ、サービス メッシュ、不変インフラストラクチャ、宣言型 API などのテクノロジが追加されました。これらのテクノロジーを使用すると、高度に弾力性があり、高度に仮想化され、耐障害性が高く、自己回復性があり、管理しやすい分散アーキテクチャ システムを構築できます。

しかし、クラウド ネイティブの概念がますます広範になるにつれて、その定義は全体像を垣間見るものにすぎないように思われます。定義の完全性を心配する代わりに、クラウド ネイティブが企業にもたらすメリットと変化に注目したほうがよいでしょう。

低コスト、高可用性、高セキュリティ、高効率という 4 つのキーワードを要約して絞り込みます。

低コスト

エンタープライズ サーバーのコストと仮想化の損失が大幅に削減されます。物理ホストから仮想化、そしてコンテナ化へと移行することで、お客様はオフラインのコンピュータ ルームを管理したり、大量のリソースを消費する仮想マシンを使用する必要がなくなり、コストを大幅に削減できます。

高可用性

同時実行性の高いシナリオにおける容量の問題をエレガントに解決します。クラウドネイティブ コンテナ化の時代では、オペレーティング システムをカプセル化しないコンテナはホスト カーネル上で直接実行されるため、占有するシステム リソースが少なくなります。さらに、イメージカプセル化技術により大規模な自動展開を実現でき、分散アーキテクチャにより強力な弾力的な拡張機能を備えています。

高いセキュリティ

攻撃対象領域が縮小されました。 IDC 時代では、すべてのアプリケーションとプロセスが 1 つのサーバー上で実行されます。プロセスが悪意を持って侵害されると、ホスト全体が大きなリスクに直面します。コンテナ アーキテクチャでは、1 つのコンテナ内に 1 つのプロセスしか存在できません。たとえ攻撃を受けて侵入されたとしても、ホストへの影響は限定的です。

高効率

クラウドネイティブはDevSecOpsの概念を提唱しており、コンテナ化により開発プロセスにおいてCI/CD（迅速な統合と迅速な展開）の活用が可能となり、アプリケーション開発やプログラム運用の効率が大幅に向上します。

クラウド ネイティブとコンテナの間に密接な関係があることは容易に理解できます。コンテナは、企業の IT インフラストラクチャの設計方法を完全に変え、クラウドネイティブ システムを構築するための鍵となっていると言えます。

クラウド ネイティブが高層ビルだとすると、コンテナ化はこのビルの基盤であり、上方向には分散アーキテクチャ、マイクロサービス、さまざまなワークロードをサポートし、下方向にはインフラストラクチャをカプセル化し、基盤となるアーキテクチャの違いを保護し、独自のイメージ カプセル化、カーネル共有、便利な容量拡張を備えたクラウド ネイティブ ビルを構築します。

企業のクラウド移行率が上昇し続けるにつれて、実稼働環境でコンテナ アーキテクチャを使用することを選択する企業がますます増えています。

CNCFが2020年に発表したレポートによると、生産現場でコンテナを使用している企業の割合は昨年の84％から今年は92％に増加しました。 iResearch Consultingの「中国コンテナクラウド市場調査レポート」によると、中国企業の84.7%がすでにコンテナを使用しているか、2020年にコンテナを使用する予定です。

しかし、歴史的経験は、繁栄には何よりもダモクレスの剣がかかっていることを物語っています。 2019 年に Tripwire は 311 人の IT セキュリティ専門家を対象に調査を実施し、組織の 60% がコンテナ セキュリティ インシデントを経験していることを発見しました。コンテナには大きなセキュリティリスクが潜んでいます。

コンテナのリスクを理解するステップ2：輸送における「コンテナ」

コンテナはクラウドネイティブな構築の基盤を形成するため、コンテナのセキュリティを保護することは、コンテナのセキュリティを保護するだけではありません。

コンテナを梱包されたコンテナとみなし、箱の中の品物をスムーズにお客様にお届けするためには、コンテナの製作、設置、梱包から、箱を輸送する貨物船や宅配便の配達員の安全まで、あらゆることを考慮する必要があります。

言い換えれば、DevSecOps 開発プロセス全体でコンテナのセキュリティを考慮する必要があります。

上の図から、コンテナのライフサイクル全体には 4 つのセキュリティ リスクが伴うことがわかります。

インフラストラクチャー

コンテナはクラウド プラットフォーム/サーバー上に構築されます。ハードウェア設備、カーネル、クラウド プラットフォームのセキュリティはコンテナ セキュリティの基盤であり、インフラストラクチャ セキュリティはコンテナ セキュリティの第一歩です。

サプライチェーン

基本プラットフォームが安全になると、開発者はクラウド上で完全な DevOps 開発プロセスを確立し、コンテナ化を通じて配信効率を向上させることができます。これを実現するには、まずコンテナの構築と展開を完了する必要があります。

コンテナは一般的に 3 つの層に分かれています。最下層は BootFS ファイル システム、中間層はイメージ層、上層は書き換え可能なコンテナ層です。

コンテナ内部層

コンテナの構築はイメージに依存し、イメージはイメージ ライブラリによって管理されます。コンテナを構築するときは、イメージ ライブラリからイメージを取得するだけです。イメージライブラリが適切に管理されていなかったり、悪意のあるイメージが混在していたり​​、イメージが破損していたり​​、脆弱なイメージが適時に更新されなかったり、イメージの認証や認可の制限が不十分であったりすると、コンテナに大きなセキュリティリスクをもたらします。

コンテナを構築した後、正しくデプロイする必要があります。コンテナネットワークを例に挙げてみましょう。デフォルトの -host ネットワーク構成では、コンテナー ランタイムはデフォルトでネットワーク経由で他のコンテナーやホスト オペレーティング システムにアクセスできます。 1 つのコンテナが侵入されると、ホストに展開されているすべてのコンテナに影響が及ぶ可能性があります。 StackRox のレポートによると、コンテナのセキュリティに関して企業が最も懸念しているのはまさに構成エラーです。

コンテナランタイム

コンテナが構築された後、Cgroup、Namespace、Capability などの機能に依存してカーネル上で相互分離を実現し、オーケストレーション ツールとコンテナ ランタイム コンポーネントを使用してバッチ管理と使用を行います。

Kubernetes や OpenShift などのオーケストレーション プラットフォームには、リスクの高い脆弱性が数多く存在します。 NVD (National Vulnerablity Database) の統計によると、K8S プラットフォームだけで 109 件の CVE 脆弱性が見つかり、そのうち 10 件が重大な脆弱性、39 件が高リスクの脆弱性となっています。ユーザーが関連する脆弱性を適時に修正しない場合、攻撃者がそれを悪用してコンテナのセキュリティを脅かす可能性があります。

アプリケーションセキュリティ

インフラ層からネットワーク層まで、段階的に手がかりを追っていき、最終的に最上位のアプリケーション層、つまりコンテナ船で運ばれる「貨物」に到達すると、DDoS攻撃、アカウント盗難、データ漏洩などの攻撃に対してより脆弱になります。

開発プロセス全体におけるコンテナのセキュリティを理解することに加えて、コンテナ自体の特性によってもセキュリティ保護にさまざまな焦点が当てられます。

1. コンテナの隔離が不十分

システムの分離に基づく仮想マシンとは異なり、コンテナはプロセスの分離に基づいており、明確なセキュリティ境界がないため、コンテナが逃げ出し、ホストカーネルが攻撃される可能性が高くなります。

2. コンテナの寿命が短い

従来の仮想マシンと比較すると、コンテナは軽量で、迅速に展開および反復できるという利点があり、これは単一のコンテナの存続時間も急速に短縮されることも意味します。 Datadog の統計によると、従来のクラウド仮想マシンの平均ライフサイクルは 23 日であるのに対し、コンテナのライフサイクルはわずか 2.5 日です。ライフサイクルが極めて短いため、実行時に保護することが困難になるため、コンテナのセキュリティはサプライチェーン側で保証される必要があります。

さらに、コンテナの更新速度により、イメージ ライブラリの更新速度にも高い要件が課せられます。

3. コンテナの配置密度が高い

大規模な展開により、コンテナのバッチ管理には必然的にオーケストレーション ツールの使用が必要となり、オーケストレーション ツール、イメージ ライブラリ、イメージのセキュリティがより重要になります。

コンテナセキュリティを理解するステップ3: ライフサイクル全体の動的な保護

コンテナのライフサイクルを整理すると、コンテナのセキュリティを保護することが、実際には本番環境のセキュリティを保護することであることがわかります。では、チェーン全体を通じてコン​​テナに対する最も一般的な攻撃とは何でしょうか。また、企業はどのように自らを保護すべきでしょうか。

Alibaba Cloud は 2011 年に調査を開始し、コンテナ化とクラウド ネイティブ テクノロジーの技術変革と実装を推進してきました。 2020年にはコアシステムの完全なクラウドネイティブ化を完了し、豊富な実践経験を蓄積し、同時に国内初のクラウドネイティブコンテナセキュリティATT＆CK攻撃防御マトリックスをリリースしました。

Alibaba Cloud は、長年の技術的蓄積と実践的な経験を組み合わせて、コンテナ化プロセスにおけるセキュリティ上の課題に適切に対処するために、エンタープライズ コンテナのセキュリティを動的に保護し、コンテナのライフサイクル全体をカバーする必要があると考えます。

インフラストラクチャセキュリティ

ほとんどの企業は、クラウド プラットフォーム上にコンテナを構築するか、コンテナ オペレーターが提供するコンテナ サービスを直接使用することを選択します。基盤となるコンテナ インフラストラクチャのセキュリティを確保するには、企業はクラウド サービス プロバイダーを選択する際に、そのセキュリティ機能に特に注意を払う必要があります。

1. クラウド プラットフォームは安全で準拠していますか?

一方では、信頼できるクラウド環境であるかどうかなど、クラウド プラットフォーム自体のセキュリティがあります。一方、クラウド プラットフォームにはコンプライアンスとセキュリティという問題があります。クラウド サービス プロバイダーは、業界全体のセキュリティ コンプライアンス標準に基づいて、サービス コンポーネント構成のデフォルトのセキュリティを確保する必要があります。

2. クラウド プラットフォームのセキュリティは強力ですか?

ホスト/VM 保護、SLB アクセス制御、DDoS、WAF 機能、CWPP/CSPM 機能など、クラウド プラットフォームの基本的なセキュリティ機能。

3. クラウドプラットフォーム管理機能

バージョンを更新し、脆弱性パッチをインストールする機能も、インフラストラクチャのセキュリティを確保するための基本的な保護対策であり、クラウドベンダーには脆弱性分類対応メカニズムとバージョンアップグレード機能が必要です。

Alibaba Cloud のクラウド プラットフォーム保護機能には疑いの余地はありません。 · 信頼できるチップを通じてチップ レベルの保護機能を提供し、サーバー、クラウド プラットフォーム、仮想マシン/コンテナ環境全体の信頼性を確保し、現在の技術開発段階で最高レベルのセキュリティを実現します。 · 2020 年にリリースされたセキュリティ機能が組み込まれた 108 のクラウド製品は、強力なプラットフォーム セキュリティ保護機能を提供します。 · アジア太平洋地域で最も権威のあるコンプライアンス資格を持つクラウドメーカーであり、顧客のクラウドコンプライアンスの問題を解決します。

ソフトウェアサプライチェーンの動的保護：収集、可視化、相関分析、対応の完全なプロセス構築

コンテナは寿命が短く、実行時のセキュリティ保護が困難であるため、サプライチェーン側、つまりコンテナの構築時にセキュリティを考慮し、セキュリティをシフトレフトし、デリバリープロセスに DevSecOps の概念を組み込む必要があります。

コンテナのサプライチェーンのセキュリティを考える場合、動的な思考が重要です。コンテナ生成の核となるイメージに関しては、悪意のあるイメージが存在したり、イメージの脆弱性が適時に更新されなかったりすると、大規模な侵入を引き起こす可能性があります。 Prevasio が Docker Hub でホストされている 400 万個のコンテナ イメージを調査したところ、イメージの 51% に高リスクの脆弱性が見つかりました。さらに 6,432 枚の画像に悪意のあるトロイの木馬やマイニング プログラムが含まれていることが検出され、これらの悪意のある画像は合計 3 億回ダウンロードされました。

サプライチェーンのセキュリティ上の課題に対処するために、セキュリティ ベンダーはリアルタイムの動的保護機能を提供する必要があります。

1. リアルタイムの脆弱性スキャン:イメージに対して多次元の詳細なスキャンを実行し、CVE の脆弱性、SCA ミドルウェア、WebShell の悪意のあるスクリプトを検出し、イメージに脆弱性がないことを確認します。

2. イメージ資産管理:ホストイメージ情報を取得し、イメージ資産を整理し、イメージ、ウェアハウス、ホストノードを関連付け、イメージ資産の迅速な取得を容易にします。

3. イメージのスキャンと検証:スキャンの欠落に加えて、イメージ構成、CIS 静的ベースライン、およびその他のコンテンツもチェックして、イメージ構成エラーを減らす必要があります。同時に、イメージ ライブラリに入るイメージが安全で正しいこと、配布および展開されるイメージが改ざんされていないことを保証するために、イメージ署名ルールを確立する必要があります。

4. 画像修復:現在、自動画像修復機能を備えた成熟したメーカーは市場に存在せず、ほとんどのサービスプロバイダーは修復の提案のみを提供しています。

Alibaba Cloud のセキュリティ保護機能は、サプライ チェーン サイクル全体をカバーします。スキャン機能に関しては、専任の担当者が管理・保守する 10 万件以上のセキュリティ脆弱性を含む巨大なデータベースを提供し、最新の突発的な脆弱性を検出する機能を備え、複数のオペレーティング システムでの脆弱性スキャンをサポートします。同時に、検出時間は非常に速く、基本的に 1 分以内に結果が得られます。脆弱性修復機能に関しては、OS 下で自動イメージ修復機能を提供するため、脆弱性修復が容易になり、運用・保守担当者の負担が軽減されます。 CIS ベースライン管理の面では、Alibaba Cloud Container Service が提出した ACK 向け CIS Kubernetes ベンチマークが CIS コミュニティ組織の認証審査に正式に合格し、中国で初めて CIS Kubernetes 国際セキュリティ標準ベースラインをリリースしたクラウド サービス プロバイダーとなりました。

ランタイムセキュリティ

コンテナ ランタイムは、コンテナを実行するために使用される各ホスト オペレーティング システムに対応するバイナリ ファイルであり、各コンテナ環境を確立および維持するために使用されます。コンテナーは、複数のオペレーティング システム コンポーネントを調整し、リソースとリソースの使用を分離し、オペレーティング システムを介してホストと対話します。これはコンテナの動作を保証するものと言えます。この段階では、企業は以下の点に注意する必要があります。

1. コンテナランタイムの脆弱性と脅威のスキャン

2. コンテナランタイムネットワークの可視化

3. コンテナランタイム構成のコンプライアンスとセキュリティ

Alibaba Cloud は、コンテナ ランタイムに対して 2 つの主要なセキュリティ保証を提供します。 1つは、コンテナの逃亡を防ぐためのリアルタイムの脅威検出です。 200 以上のセキュリティ監視モデルにより、死角のないエスケープ検出を実現し、コンテナランタイム攻撃、構成エラー、AK 漏洩などの問題を効果的に監視できます。もう1つは、システムの脆弱性、アプリケーションの脆弱性、緊急の0Day脆弱性を包括的にカバーする脆弱性管理です。同時に、SCA の脆弱性検出機能は、エコシステムおよびオープンソース ソフトウェアの脆弱性チェックもカバーし、脆弱性侵入のリスクを効果的に軽減します。

さらに、Alibaba Cloud Security は、コンテナ実行中のネットワーク接続の視覚化も提供します。エージェントを通じてデータを収集することで、東西および南北ネットワークの可視化を実現し、ネットワーク接続のセキュリティリスクを容易に特定し、構成コンプライアンスチェックを実行してコンテナ実行時の構成セキュリティを確保します。

クラウド ネイティブによってコンピューター インフラストラクチャとアプリケーション アーキテクチャが再定義されるにつれて、ネイティブ セキュリティもさらに進化しています。ガートナーは市場動向の中でクラウドネイティブのセキュリティ エコシステムの構築について言及しており、セキュリティは当初の単一ポイントの保護から統合された内生的なものに進化しています。コンテナ技術とエコロジーの成熟により、新しいコンテナ使用シナリオが出現しました。エッジコンピューティング、機械学習、ビッグデータ分析、aPaaS は、コンテナ セキュリティの新たなキーワードになりつつあります。

Alibaba Cloud Security は、コンテナとセキュリティ サービスのワンストップの緊密な統合も行っています。クラウド セキュリティ センター、キー管理、ログ管理などのセキュリティ サービスを統合することで、ネイティブ セキュリティ機能が構築され、DevOps プロセスにデフォルトでセキュリティが組み込まれ、継続的インテグレーションと継続的デリバリー (CI/CD) パイプライン全体のセキュリティと防御機能が向上します。

クラウドネイティブの課題に直面しながらも、Alibaba Cloud Container Service は技術の最前線に立ち、コンテナセキュリティの分野で世界クラスの競争力を維持し、顧客のアプリケーションのセキュリティを守ります。