クラウドネイティブ 5G アプリケーションを保護するための 3 つの主要なコンテナ セキュリティ防御ライン

[[377711]]

5G の 3 つの主要なアプリケーション シナリオは、eMBB (拡張モバイル ブロードバンド)、uRLLC (低遅延、高信頼性通信)、mMTC (大規模マシン タイプ通信) ですが、垂直産業の主なアプリケーション シナリオは mMTC と uRLLC になります。垂直産業は広く使用されており、多くのシナリオで高効率で軽量な通信が必要です。従来の集中型コア ネットワークでは、要件を満たすことができなくなりました。そのため、3GPP は従来のコア ネットワークを 5G 時代のサービス ベース アーキテクチャ (SBA) に設計しました。コアネットワークをベースとした 5G クラウドネイティブ アプリケーションは、サービス指向になったことで、拡張性、高い拡張性、シンプルな通話などの利点をもたらしました。これらは分散技術の典型的な例です。実際の使用においては、サービスを運ぶ実際の物理的なキャリアは、軽量、コンパクト、拡張が容易であることが求められます。現時点では、ホストと仮想化テクノロジーがあまりにも面倒です。コンテナ テクノロジーは、名前空間を使用してオペレーティング システム内で分離を確立し、より少ないリソースで複雑で多様なニーズに対応します。このような状況の中で、Docker ベースのコンテナ技術が登場し、広く使用されるようになりました。

コンテナのリスク

コンテナによってもたらされる技術的な利点は比類のないものですが、新たなセキュリティ リスクも生じます。コンテナのDev&Opsライフサイクルの観点から見ると、コンテナは作成された瞬間からリスクに直面しており、イメージの読み込み、コンテナの操作、データ転送などの運用上のリスクも増えています。

図1: コンテナクラウド特有のリスク

コンテナイメージには幅広い選択肢と高い自由度があり、多くのリスクを伴います。 2017 年の統計 (https://www.federacy.com/blog/docker-image-vulnerability-research/ の図 2) によると、公式 Docker コミュニティが提供するイメージの 10% に高リスクの脆弱性が含まれており、最も一般的な Ubuntu イメージの中でも、高リスクの脆弱性を含むイメージがイメージ全体の 25% 以上を占めています。これは公式チャンネルでも同様であり、他の非公式チャンネルからの画像の品質を示しています。さらに、近年のビットコインの普及により、攻撃者の利益追求行為がコンテナ分野にも広がっています。 2018 年 6 月、セキュリティ ベンダーの Fortinet と Kromtech は、Docker Hub 上で暗号通貨マイニング マルウェア用の Docker イメージを 17 個発見しました。これらのイメージは少なくとも 500 万回ダウンロードされており、防御が極めて困難でした。マイニング プログラムを備えたこれらの悪意のあるコードがコンテナ クラウドに入ると、それらは拡散し、マイニングのためにクラウド コンピューティングのパワーを消費し、ネットワーク帯域幅とスループットに影響を与え、クラウド アプリケーションの正常な動作を脅かします。

図2: 公式コミュニティイメージの脆弱性統計

コンテナをロードするときに、Docker イメージ リポジトリはプレーン テキストでイメージをダウンロードする方法を提供するため、中間者攻撃が容易になります。同時に、不適切な構成によりイメージ リポジトリのポートがインターネットに公開され、攻撃者がマルウェアを含むイメージをアップロードして企業に災害をもたらす可能性があります。

コンテナが実行中の場合、分離は仮想マシンほど厳密ではなく、/sys /dev などの一部のシステム パスは他のコンテナと共有されます。ホストのファイル パスが Docker パスとユニオン マウントされている場合、悪意のあるコードはコンテナーに「侵入」してホストを攻撃し、その後他のアプリケーションを攻撃する機会があります。コンテナは、Docker デーモンに新しいコンテナを送信し、ホストと共同でファイルをマウントして別の形式の「侵入」攻撃を実行するなど、イントラネット プレーンを介して他のコンテナへの攻撃を開始できます。コンテナが破棄されても、対応するマウントされたボリューム データはホスト上に残ります。積極的に削除しないと、データ漏洩が発生します。

コンテナのセキュリティ保護

上記のリスクはコンテナ クラウドに特有のものであるため、一般的なクラウド セキュリティ保護に加えて、コンテナ クラウドでも上記のリスクに対して特別な予防策を講じる必要があります。 ZTE は業界のベストプラクティスを組み合わせ、Dev&Ops にセキュリティを統合し、コンテナ クラウドのリスクを最小限に抑えるためのコンテナ クラウド セキュリティの 3 段階の防御ソリューションを提案します。

図3: コンテナのセキュリティ保護

第一防衛線：問題の根本を突き止める

ZTEは、サプライチェーンにおける「次元削減攻撃」のリスクに対応するため、専門チームを組織し、自社開発のセキュリティイメージ（ベースライン）を構築しました。 CI/CD プロセスでは、イメージの脆弱性、悪意のあるコードのスキャン、アクセス条件が統合されます。脆弱性が解決されていない場合や非準拠の構成がある場合は、基本イメージに基づいて改良されたアプリケーション イメージを送信できないため、ソースからの悪意のあるコードの導入が排除されます。 ZTE のコンテナ クラウドが提供するサービスはすべて安全なイメージ ソースから提供されるため、イメージによってもたらされる「自然な」リスクが最小限に抑えられます。これは、コンテナ クラウド固有のセキュリティの最も重要な部分です。クラウド ユーザーは、これらのイメージを直接使用して、脆弱性の導入を減らすこともできます。

第二の防衛線: 静的分析

コンテナ クラウドとサードパーティ アプリケーションによって制御不能なイメージが持ち込まれる可能性があることを考慮して、ZTE コンテナ クラウドは CI/CD で使用される脆弱性検出機能とコンプライアンス スキャン機能をコンテナ クラウドに導入し、コンテナ クラウドがイメージ リポジトリ内のすべてのイメージをチェックし、リスクのあるイメージの操作をブロックできるようにします。コンテナの実行に伴うリスクも発見できます。ホストおよびストレージ スキャンでは、ボリュームとコンテナー間の関連性を検出し、ボリュームをクリアする操作を提供して、データ漏洩や「侵入」攻撃を防止できます。第 2 の防御線は、悪意のあるコードがオペレーティング環境に侵入する経路を遮断し、特にエッジ クラウドで使用するためにサードパーティに公開されている場合はイメージ リポジトリも保護されるため、さらに重要になります。

第三の防衛線: 動的監視

2 つの防御ラインによる正確な攻撃を受けると、従来のマルウェアは逃げ場がありませんが、網をすり抜けたマルウェア、特に 0day を悪用する APT (Advanced Persistent Threat) 攻撃の一部は、コンテナ クラウドで実行される可能性があります。このとき、第3防衛線の動的監視機能を使用する必要があります。 3 番目の防御線は、既知の悪意のあるトラフィックの侵入をブロックするために、東西仮想ファイアウォールと南北アプリケーション ファイアウォールの機能を提供します。また、通信マトリックスに基づいて必須アクセス制御ルールを構成し、必要な通信ポート トラフィックのみを許可することもできます。動的監視機能は、コンテナに出入りするトラフィックやアクセスされたファイルを常に監視し、自己学習方式でコンテナの動作をプロファイルします。コンテナの出入りに異常があった場合、動的な検査と監視によりコンテナに警告、遮断、または隔離が行われます。クラウド ユーザーは、ほとんど構成なしで動的監視によってもたらされるセキュリティと利便性を利用できます。これは、大規模なコンテナ クラウドの運用と保守にとって特に重要です。

要約する

3 つの防御ラインは互いに補完し合い、コンテナ クラウド特有のリスクを正確にターゲットにします。仮想マシン コンテナやネイティブ コンテナなど、さまざまなシナリオで使用でき、コンテナ クラウドのセキュリティを完全に確保できます。 5G垂直産業の発展に伴い、コンテナクラウド、特にエッジクラウドは中小企業に確実に支持され、3つの防御線も垂直産業アプリケーションでその価値を発揮するでしょう。 ZTE は常にセキュリティを自社の基盤に組み込むことに重点を置いており、コンテナ クラウド セキュリティはこの概念のもう一つの最良の証拠です。