本文の内容は、2024年11月15日に ERIC CARTER が投稿したブログ(https://sysdig.com/blog/how-runtime-insights-help-with-container-security/)を元に日本語に翻訳・再構成した内容となっております。
コンテナはクラウドワークロードの重要な構成要素であり、アプリケーションの導入に柔軟性、拡張性、スピードをもたらします。しかし、組織がコンテナを導入するにつれて、新たなセキュリティ上の課題に直面します。開発者、DevOps、プラットフォーム、セキュリティの各チームは、脆弱性、構成ミス、脅威への対応に苦労することがよくあります。ここで、ランタイム インサイトが役に立ちます。ランタイムインサイトは、重要な可視性とインテリジェンスを提供し、実際のリスクを検出してノイズを排除するのに役立ちます。
ランタイム インサイトとは何か、開発から本番までどのように使用されるか、そしてこのアプローチが安全な運用に不可欠である理由について説明します。
コンテナのセキュリティ脅威に先手を打つ
コンテナのセキュリティ脅威はさまざまな形で現れます。KubernetesやAWS Fargateなどのサーバーレス プラットフォームによってオーケストレーションされ、数千のコンテナが数秒以内に起動および停止する可能性のある動的な環境では、従来のセキュリティアプローチを適用することは通常、イライラさせられるだけでなく無駄にもなります。
デプロイ前のコンテナイメージの脆弱性スキャンだけに頼るだけでは不十分です。必要なのは、デプロイメントで実際に何が起こっているかを把握することです。ランタイムインサイトは、コンテナ内のアクティブな脅威を検出するだけでなく、現在実行中のものに関する知識に基づいて最も影響の大きいリスクと問題に優先順位を付けるのに役立つ実用的な情報を提供するために必要なコンテナの可視性とコンテキストを提供します。
ランタイムインサイトの仕組み
コンテナのランタイム分析情報は、コンテナ化されたワークロードをリアルタイムで継続的に監視することで得られます。この継続的な可視性により、セキュリティチームは異常な振る舞いが発生したときにそれを検出でき、コンテナ化されたアプリケーションのペースが速く一時的な性質に合わせた追加のセキュリティ レイヤーを提供できます。
運用中のコンテナの重要な側面を理解するために必要な洞察を得るには、コンテナ検査用に設計されたランタイムインストルメンテーションが不可欠です。コンテナ化されたワークロードは、システムコールを通じてカーネルや他のアプリケーションと対話します。eBPFなどのテクノロジーを使用してホストレベルでこれらのシステムコールを可視化することで、コンテナイメージを変更することなく、セキュリティイベントをリアルタイムで検出し、コンテナの振る舞いをプロファイリングできます。
コンテナ セキュリティにおけるランタイムインサイトのユースケースとメリット
ランタイム インサイトは、Sysdigクラウドセキュリティプラットフォームの重要なコンポーネントです。これにより、セキュリティ チームは、複数の異なるドメインにわたる環境内で最も重要で関連性の高いリスクを効果的に特定し、優先順位を付けることができます。
リアルタイム脅威検知
ランタイムインサイトは、定期的なスナップショット分析に頼るのではなく、ライブで振る舞いを分析することで、コンテナの脅威検知を改善します。コンテナの寿命は短く、一時的なものであるため、コンテナの実行中に何が起こっているかをキャプチャするランタイムセキュリティは、悪意のあるアクターのエクスプロイトを特定する上で重要です。ランタイムインサイトにより、アクティブなリスクを特定し、異常なネットワーク接続や不正なデータ アクセスなどの異常や攻撃パターンをリアルタイムで検知できます。
Falco オープンソース によるリアルタイムのクラウドネイティブ脅威保護の詳細をご覧ください。
コンテナの脆弱性管理と優先順位付け
コンテナイメージの現実の 1 つは、特定のデプロイメントに必要のないライブラリ、パッケージ、およびその他のファイルが含まれていることが多いことです。これにより、脆弱性スキャンレポートを解釈するときにノイズが発生し、開発者が最初に修正すべきものを決定する際に時間の無駄が生じます。
ランタイムインサイトは、組織が、使用されていない脆弱なパッケージの修正にリソースを費やすのではなく、実際に使用されているパッケージのコンテナの脆弱性に焦点を当てることで、シフトレフトセキュリティプラクティスを改善するのに役立ちます。このターゲットを絞ったアプローチにより、優先度の高いリスクに注意を向けることで、脆弱性の修復のプロセスがより効率的になります。
主要な AppSec ツールであるCheckmarx、Docker Scout、Mend.io、ServiceNow、Snyk とのランタイム インサイトの統合の詳細については、こちらをご覧ください。
コンテナインシデント対応
脅威が検知されると、ランタイムインサイトによって、迅速かつ情報に基づいた対応に必要なコンテキストが提供されます。リアルタイムで何が起こったか (誰が何に、いつ、どこからアクセスしたか) を正確に把握することで、セキュリティチームは効果的に対応できます。これにより、インシデント対応時間が短縮され、潜在的な損害が制限されます。
クラウド検知と対応の555 ベンチマーク について
コンテナコンプライアンス
多くの規制基準では、ワークロードの継続的な監視が求められています。たとえば EU では、デジタル運用レジリエンス法 (DORA) とネットワークおよび情報システム指令 (NIS2 ) によって、サイバーセキュリティのレベルを引き上げるための規制と目標が定められており、金融サービスなどの業界ではセキュリティイベントの開示までの時間を厳しく制限することが求められています。
ランタイムインサイトは、コンテナのセキュリティポスチャーを継続的に評価し、自動アラートを配信し、監査証跡をキャプチャして標準の遵守を簡素化することでコンプライアンスの達成を支援し、組織が規制要件に継続的に準拠できるようにします。
コンテナ セキュリティのベストプラクティス について詳しく説明します。
まとめ
ランタイム インサイトは、コンテナ化されたアプリケーションのセキュリティプラクティスを改善するための強力なアプローチを提供します。コンテナ化された環境のセキュリティは、チーム間で共有される責任です。ランタイムインサイトを DevSecOps プラクティスと統合することで、開発、運用、プラットフォーム、セキュリティの各チームが連携して、新たな脅威への対応を改善できます。
ライブデータと振る舞い分析を活用することで、ランタイムインサイトは、従来の静的なセキュリティアプローチで生じたギャップを埋めます。これにより、組織はコンテナ固有のニーズに適応し、クラウドネイティブイノベーションのボトルネックとなるセキュリティを排除できます。