コンテナの脅威検知
SHARE:
大多数の企業が、ワークロードの大部分がコンテナでホストされていると報告していることから、コンテナの脅威検知は、あらゆるタイプの組織にとって重要な課題となっています。
残念ながら、この課題に対処することは難しい優先事項でもあります。コンテナセキュリティの脅威には、ランタイムセキュリティ脅威、ネットワーク脅威、コンテナイメージ脅威など、さまざまな種類があります。これらの脅威を検出するには、コンテナ化されたソフトウェアスタックを複数の層で評価する必要があります。
この記事では、コンテナ化されたワークロードに影響を与えるセキュリティリスクを、その発生場所に関係なく未然に防ぐために、注意すべきさまざまな種類のコンテナセキュリティ脅威についてご説明します。
コンテナの脅威検知
ここで学ぶ内容
-
コンテナの脅威検知とは?
-
環境内の異なる層におけるコンテナに対する潜在的な脅威の種類
-
各脅威への対処方法
コンテナの脅威検知とは?
コンテナの脅威検知とは、コンテナでホストされているワークロードに影響を与える可能性のあるあらゆる種類のセキュリティリスクを特定するプロセスです。特権昇格の脅威、マルウェア、安全でないネットワーク構成など、コンテナの脅威検知は、コンテナ化されたアプリケーション環境内に存在するさまざまな種類のセキュリティ脅威に対して幅広い保護を提供します。
コンテナの脅威検知へのアプローチ
コンテナのセキュリティ脅威はさまざまな形で発生するため、それらを検知するには、環境のさまざまな層における複数のカテゴリーの潜在的な脅威を評価する必要があります。考慮すべき主なリスク分野は、次のとおりです。
コンテナのランタイムセキュリティ
コンテナのランタイムセキュリティ脅威とは、コンテナの実行中にコンテナに影響を与えるあらゆる種類の脅威のことです。
ランタイムの脅威は、主に 2 つの経路から発生します。
- 侵害されたコンテナイメージ:コンテナイメージ内に存在するマルウェアは、コンテナがデプロイされるとアクティブな脅威を生成する可能性があります。
- 安全でないランタイム環境:コンテナを特権モードで実行したり、機密データへのアクセスを許可したりするなどの安全でない設定は、侵害につながる可能性があります。
ランタイムの脅威が発生するには、通常、これらの条件のうち少なくとも 1 つが満たされている必要があります。しかし、多くの場合、両方の条件が満たされています。たとえば、汚染されたコンテナイメージによってランタイム環境にマルウェアが侵入し、侵害されたワークロードを分離できない安全でない設定によってマルウェアの影響がさらに悪化する可能性があります。
ランタイムの脅威は、コンテナランタイム(コンテナを実行するソフトウェア)のセキュリティ脆弱性や、コンテナをホストするサーバーの OS レベルの脆弱性など、他の方法でも発生する可能性があります。ただし、これらの脅威は、コンテナ内部またはコンテナが実行されている環境から発生するリスクに比べ、比較的まれです。
コンテナランタイムの脅威検知
コンテナのランタイムセキュリティの脅威のほとんどは、安全でないイメージや環境設定に起因するため、ランタイムの脅威を検出するための主な戦略は、イメージと環境設定をスキャンすることです。
コンテナイメージのスキャンは、一般的なコンテナスキャナであれば実行できる簡単なプロセスです。ほとんどの場合、広く使用されているスキャナであれば、あらゆるタイプのコンテナをスキャンすることができます。
環境設定のスキャンは、コンテナの実行場所によって複雑になる場合があります。Kubernetes によってオーケストレーションされている場合は、Kubernetes を管理するさまざまなタイプの設定を分析できるランタイム脅威検知ツールが必要になります。AWS ECS などの代替オーケストレーションソリューションを使用している場合は、そのタイプの環境を分析するために設計されたツールが必要になります。
また、アクティブなランタイムセキュリティの脅威を検出するために、ログ、メトリクス、および(ランタイム環境またはオーケストレーターから入手できる場合)監査証跡を継続的に監視する必要があります。Falco などの監視ツールが、この作業に役立ちます。
コンテナネットワークセキュリティ
コンテナ自体はアプリケーションのみをホストします。ネットワークリソースはコンテナの外部にあり、通常はコンテナ自体とは独立したオーケストレーターまたはサービスメッシュによって管理されます。
しかし、ネットワーク構成のセキュリティが不十分だと、コンテナ内でホストされているワークロードに重大な影響が生じる可能性があります。コンテナを互いに適切に分離していないネットワーク設定では、1 つのコンテナの侵害が他のコンテナにも拡大したり、侵害されたコンテナが別のコンテナが所有する機密データにアクセスしやすくなったりするおそれがあります。
したがって、ネットワークは、コンテナに対する攻撃の開始と拡大の両方にとって重要な媒介手段となります。そのため、ネットワーク上で発生する脅威を検知することは、コンテナの脅威検知全体において重要な要素となります。
コンテナネットワークの脅威検知
ネットワークベースのコンテナの脅威検知へのアプローチに、すべてに通用する万能の方法は存在しません。コンテナネットワークはさまざまな方法で構成することができ、使用するオーケストレーター、コンテナをクラウドで実行するかオンプレミスで実行するか、サービスメッシュを使用するかどうかなどの要素によって、コンテナネットワークのアーキテクチャは大きく異なります。つまり、ネットワークの脅威を効果的に検出するには、コンテナの実行に使用するプラットフォームのネットワーク構成設定を解釈できるコンテナ脅威検知ツールが必要です。
同時に、ネットワークデータをリアルタイムで分析して脅威を検知できるツールも導入する必要があります。あるコンテナから別のコンテナへの悪意のあるトラフィックや、不正なリクエストでネットワークを氾濫させる試み(DDoS 攻撃の一部である可能性あり)などのアクティビティは、ネットワークの動作の異常を識別することで検知できます。
しかし、ネットワーク脅威検知ツールが効果的に機能するには、ネットワーク構成が絶えず変化する環境内で、真の異常を識別できる必要があります。ほとんどの場合、コンテナ化された環境では、需要の変動に応じてコンテナが作成および破棄されるため、IP アドレスの割り当て、ロードバランサーの構成、およびコンテナ内のエンドポイントの総数は絶えず更新されます。
このため、「正常な」ネットワーク活動の静的な基準を確立し、それに基づいて異常を測定することは困難です。ツールは代わりに、動的な構成に基づいて基準を決定し、ネットワークトラフィックパターンを他のデータソース(監査ログなど)と相関させて、真のコンテナネットワーク脅威と通常のトラフィック変動を区別するための判断を下す必要があります。
コンテナ化されたアプリケーションに対するセキュリティ脅威は、さまざまな形で現れます。組織は、コンテナイメージ、ランタイム構成、ネットワーク構成など、脅威の発生源を問わず、あらゆる脅威を表面化できる多面的なアプローチを採用して、それらすべてを検知する準備をしておく必要があります。