What is container security?

Container security is the process of implementing security and compliance across all stages of the container lifecycle. This includes scanning container images in the CI/CD pipelines and registries, as well as ensuring runtime security for containers and hosts. Incident response with full forensics data that captures all activity inside the container is a key requirement as well. Compliance controls should allow teams to pass an audit at any time.

How do I secure Kubernetes?

Protecting workloads in Kubernetes involves securing multiple components of the cluster. Vulnerabilities in your base OS or non-OS packages that developers use to build applications can be exploited. This requires image scanning and integrating via admission controllers to prevent risky image deployments. Another component to secure is your Kubernetes control plane (i.e., controller manager, etcd), which can be accessed via the Kubernetes API, and requires security monitoring and auditing of all activity happening at the API server level.

How do I secure the host?

Even when you run containers, you want to make sure your host configuration is secure (restricted and authenticated access, encrypted communication, etc.). We recommend using the Docker bench audit tool to check configuration best practices. You should also keep your base system updated and use minimal, container-centric host systems to reduce your attack surface.

How do I implement container security on AWS (ECS, EKS, Fargate)?

AWS container security requires implementation of security across all stages of the container lifecycle. This includes automating image scanning at the registry level with Amazon ECR, but also for CI/CD pipelines with tools such AWS CodeBuild and CodePipeline. Runtime security in production with EKS, ECS detects and blocks zero-day vulnerabilities and threats such as privilege escalation attempts. Implementing threat detection using AWS CloudTrail and Falco helps to alert on suspicious changes in AWS user permissions, S3 buckets, access keys, etc. Compliance checks across your AWS infrastructure and application lifecycle are key to meeting regulatory compliance standards. And finally, recording container activity at a detailed level will help you understand events and conduct forensics even after containers are gone.

How do I implement container security on RedHat OpenShift?

OpenShift provides a secure, enterprise-class container platform. Sysdig augments OpenShift’s built-in container security controls with extended image scanning, runtime security and container forensics to reduce risk for mission-critical container deployments at scale.

How do I implement container security on Google Cloud?

Securing containers on Google Cloud running on solutions like GKE and Cloud Run require protection across all stages of the container lifecycle. This includes automating image scanning at the registry level with GCR, but also for CI/CD pipelines with tools such as Google Cloud Build. Runtime security in production with GKE and Cloud Run detects and blocks zero-day vulnerabilities and threats such as privilege escalation attempts. Compliance checks across your Google Cloud infrastructure and application lifecycle are key to meeting regulatory compliance standards. And finally, recording container activity at a detailed level will help you understand events and conduct forensics even after containers are gone.

Sysdig Secure によるコンテナのセキュリティ

DevOps に組み込まれたセキュリティとコンプライアンス

Kubernetes セキュリティのチェックリストを入手

製品ツアー

最新情報！【Sysdigによる2023年クラウドネイティブセキュリティ＆活用状況レポート（日本語版）】をダウンロード

もっと詳しく

コンテナのセキュリティと可視性のギャップを解消

イメージスキャン

CI/CD ツールでローカルでのスキャンを自動化し、実行時に新しい脆弱性にフラグを設定します。

継続的なコンプライアンス

コンテナや Kubernetes のライフサイクル全体にわたって PCI、NIST、SOC2 などの基準へのコンプライアンスを検証します。

ランタイムのセキュリティ

syscall、k8s 監査ログ、AWS CloudTrail をベースとしたすぐに使える Falco ルールにより、コンテナ、Kubernetes、AWS インフラストラクチャ全体の脅威を検出します。

インシデント対応とフォレンジック

低レベルの syscall データを使用して、コンテナが消えた後でも調査を実行できます。

さらに詳しくe

さらに読む

もっと詳しく

詳細を見る

「Sysdig 2020 コンテナセキュリティのスナップショット」で、セキュリティに関する最新のインサイトをご確認ください。今すぐ読む

Sysdig Secureコンテナのセキュリティ

Sysdig Secure は、コンテナのライフサイクルのすべての段階にセキュリティとコンプライアンスを組み込みます。

イメージスキャン

今日のソフトウェアはゼロから構築するのではなく、コンポーネントを組み合わせて構築するため、開発者はオープンソースのベースイメージやサードパーティのライブラリを利用し、コンテナ化されたアプリケーションを構築して拡張します。本番環境に導入できる、イメージスキャンの 12 のベストプラクティスについて、詳しくはこちらをご覧ください。

Sysdig Secure は、CI/CD パイプラインとレジストリにスキャンを統合することで、既知の脆弱性を早期に防ぎます。また、実行時に新たに特定された脆弱性にフラグを設定して特定のアプリケーションにマッピングし、修正を担当するチームを特定します。Sysdig のすぐに使える Docker セキュリティスキャンルールを使えば、重大度の高い OS の脆弱性や OS 以外の脆弱性、構成ミス、セキュリティ上の不適切な行為などを見つけ出して時間を節約できます。

ランタイムのセキュリティ

コンテナのセキュリティに関するもう 1 つの重要な要件として、実行時に以下のような悪質なアクティビティを検出してアラートを送信する機能があります。

パッチが適用されていない脆弱性や新しいゼロデイ脆弱性の悪用
安全でない構成
漏洩した資格情報や弱い資格情報
内部関係者による脅威

オープンソースの Falco を使えば、柔軟な検出ルールを作成してコンテナ内の予期しない動作を定義できます。これらのルールは、クラウドプロバイダや Kubernetes 環境のコンテキストを使って強化できます。チームは、ポリシーをゼロから作成する代わりに、コミュニティが提供する豊富な検出機能を活用できます。そして、現在使用しているセキュリティ対応のワークフローとプロセスに Falco を組み込むことでアラートを送信できます。

Sysdig Secure はオープンソースの Falco エンジンを拡張し、ランタイム検出ポリシーの作成とメンテナンスにかかる時間を削減します。機械学習を利用してコンテナイメージを自動的にプロファイリングするため、ルールをゼロから作成する必要がありません。

継続的なコンプライアンス

コンテナのコンプライアンスは、本番環境へのデプロイメント前にチェックすべき重要な要件です。コンテナのコンプライアンスを検証する中で、DevOps チームから最もよく聞く課題は次のようなものです。

コンプライアンス基準をクラウド環境内の特定のコントロールにマッピングできない
コンプライアンスの進捗状況や監査に通るかどうかがわからない
どのチームがどのコンプライアンスコントロールを担当しているのかわからない
コンテナ環境内のコンプライアンスを証明することができない

このようなコンプライアンスタスクは時間とリソースを必要とするため、最終的にはアプリケーションのデプロイメントを遅らせることになります。Sysdig Secure は、コンプライアンス基準（PCI、NIST、SOC2 など）をコンテナや Kubernetes 環境の特定のコントロールにマッピングします。また、オンデマンドの評価、ダッシュボード、レポートを利用することで、第三者監査に合格しやすくなります。コンテナや Kubernetes のライフサイクル全体にわたって PCI、NIST、SOC2 などの基準に対するコンプライアンスを継続的に検証する方法について、詳しくはこちらをご覧ください。

インシデント対応

コンテナや Kubernetes 環境は分散され動的であるため、インシデント対応の際、「なぜ」に答えるのは非常に厄介です。チームは正確なランタイムポリシーを定義しながら、大量のアラートに埋もれないようにバランスを取る必要があります。

コンテナ内の悪質なイベントの根本原因を見極めるためには、コンテナセキュリティツールがもたらす詳細な証拠が必要です。Sysdig は、Linux の syscall を利用して包括的なフォレンジックデータを提供します。このデータのおかげで、コンテナが失われたあとでも詳細な事後分析が可能になります。この低レベルのデータを使用することで、どのファイルが変更されたか、どのコマンドが実行された、あるいはどのような接続が行われたかといったことがわかるようになります。コンテナ内の攻撃前後のアクティビティのスナップショットを記録し、詳細なインシデント対応とフォレンジックを実行する方法については、こちらをご覧ください。

DevOps ワークフローへの統合

Sysdig は、オープンソースをベースとした SaaS ファーストなプラットフォームであり、既存の DevOps スタックに自動的に統合されます。

ビルド

脆弱性

構成

CI/CD Tools

Sysdig Secure image scanning integrates directly into your CI/CD pipeline and prevents images with vulnerabilities or misconfigurations from being shipped.

1/2

Registry

Sysdig Secure container image scanning supports all Docker v2 compatible registries. It ensures an up to date risk posture and identifies images that need to be rebuilt if new vulnerabilities are introduced.

2/2

運用

メトリクス

イベント

セキュリティポリシー

アプリケーション

Sysdig provides runtime security, infrastructure and application monitoring to help you ship cloud applications faster to production.

1/4

クラウド

Sysdig secures and monitors containers on multiple cloud platforms.

Sysdig ServiceVision enriches container data with the metadata from the cloud providers.

2/4

Orchestrator

Sysdig supports any orchestrator, multiple Kubernetes distributions, as well as managed platforms.

Sysdig ServiceVision enriches container data with the metadata from Kubernetes/orchestrators. Sysdig uses the native facilities of Kubernetes for policy enforcement and threat prevention.

3/4

インフラストラクチャ

Sysdig ContainerVision provides deep visibility into all container activity via a lightweight instrumentation model that collects low level system call data.

4/4

対応

アラート

監査ログ

イベント

Syscall
のキャプチャ

アラート

Configure flexible alerts on image scanning failures, runtime anomalous activity, troubleshooting issues etc through channels you already use (e.g., Slack, PagerDuty, SNS, etc.).

1/2

SIEM と SOAR の統合

Sysdig automatically forwards events to your SIEM tool giving SOC analysts deep visibility into container and Kubernetes incidents. It also integrates with SOAR platforms (Demisto, Phantom) as part of automated security playbooks.

2/2

SaaS

セルフホスト

Sysdig Secure DevOps Platform

Confidently run cloud-native workloads in production using the Sysdig Secure DevOps Platform. With Sysdig, you can embed security, validate compliance and maximize performance and availability. The Sysdig platform is open by design, with the scale, performance and usability enterprises demand.

30 日間の無償トライアルを数分で開始

すべての機能に完全にアクセスでき、クレジットカードは不要です。

無償トライアルを開始

よくある質問

Q: コンテナのセキュリティとは何ですか？

A: コンテナのセキュリティとは、コンテナのライフサイクルのすべての段階でセキュリティとコンプライアンスを実行するプロセスです。これには、CI/CD パイプラインとレジストリ内のコンテナイメージのスキャンや、コンテナとホストのランタイムセキュリティの確保などが含まれます。また、コンテナ内のすべてのアクティビティをキャプチャする詳細なフォレンジックデータを使用したインシデント対応も重要な要件です。コンプライアンスコントロールにより、チームはいつでも監査に合格できるようにしておく必要があります。

Q: どうすれば Kubernetes のセキュリティを保護できますか？

A: Kubernetes のワークロードを保護するには、クラスタの複数のコンポーネントを保護する必要があります。開発者がアプリケーションの構築に使用した基盤 OS または OS 以外のパッケージの脆弱性が悪用される可能性があります。そのため、アドミッションコントローラを介した統合やイメージスキャンを利用して、リスクのあるイメージのデプロイを防ぐ必要があります。保護が必要なもう 1 つのコンポーネントとして、Kubernetes コントロールプレーン（コントローラマネージャー、etcd）があります。コントロールプレーンには Kubernetes API を介してアクセスでき、API サーバーレベルで発生するすべてのアクティビティに対してセキュリティモニタリングと監査を実行する必要があります。Kubernetes のセキュリティ保護に関する詳細は、Kubernetes セキュリティのチェックリストをダウンロードしてください。

Q: どうすればホストのセキュリティを保護できますか？

A: コンテナを実行する場合でも、ホスト構成が安全であることを確認する必要があります（アクセスの制限や認証、通信の暗号化など）。Docker ベンチ監査ツールを使用して、構成のベストプラクティスを確認することをお勧めします。また、攻撃対象を減らすために、ベースシステムを常に最新の状態に維持し、コンテナを中心とした最小限のホストシステムを使用するようにしてください。詳しくは、Docker セキュリティの 7 つの脆弱性に関する記事をご覧ください。

Q: AWS（ECS、EKS、Fargate）でコンテナのセキュリティを実行するにはどうすればよいですか？

A: AWS でコンテナのセキュリティを実行するには、コンテナのライフサイクルのすべての段階でセキュリティを実装する必要があります。これには、Amazon ECR によるレジストリレベルのイメージスキャンの自動化だけでなく、AWS CodeBuild や CodePipeline などのツールを使用した CI/CD パイプラインのイメージスキャンの自動化も含まれます。EKS や ECS を使用した本番環境のランタイムセキュリティは、ゼロデイの脆弱性や脅威（特権エスカレーションの試行など）を検出してブロックします。AWS CloudTrail や Falco を使用した脅威検出を実行することで、AWS のユーザー権限、S3 バケット、アクセスキーなどの不審な変更があった場合にアラートを送信できます。AWS インフラストラクチャとアプリケーションライフサイクル全体でコンプライアンスチェックを行うことは、規制コンプライアンス基準に準拠するための鍵となります。そして最後に、コンテナのアクティビティを詳細に記録することで、コンテナが消えた後でもイベントを把握し、フォレンジックを実行できるようになります。

Q: RedHat OpenShift でコンテナのセキュリティを実行するにはどうすればよいですか？

A: OpenShift は、エンタープライズクラスの安全なコンテナプラットフォームを提供します。Sysdig は、拡張されたイメージスキャン、ランタイムセキュリティ、およびコンテナのフォレンジックによって OpenShift に組み込まれたコンテナのセキュリティ管理を強化し、ミッションクリティカルなコンテナの大規模デプロイメントに伴うリスクを低減します。

Q: Google Cloud でコンテナのセキュリティを実行するにはどうすればよいですか？

A: GKE や Cloud Run などのソリューションで実行される Google Cloud 上のコンテナを保護するには、コンテナのライフサイクルのすべての段階で保護を実行する必要があります。これには、GCR によるレジストリレベルのイメージスキャンの自動化だけでなく、Google Cloud Build などのツールを使用した CI/CD パイプラインのイメージスキャンの自動化も含まれます。GKE や Cloud Run を使用した本番環境のランタイムセキュリティは、ゼロデイの脆弱性や脅威（特権エスカレーションの試行など）を検出してブロックします。Google Cloud インフラストラクチャとアプリケーションライフサイクル全体でコンプライアンスチェックを行うことは、規制コンプライアンス基準に準拠するための鍵となります。そして最後に、コンテナのアクティビティを詳細に記録することで、コンテナが消えた後でもイベントを把握し、フォレンジックを実行できるようになります。

その他の参考情報

“当社は小規模なチームで構成されているため、真の DevOps モデルを使用しており、各個人が複数の役割を担っています。Sysdig を使用すると、スピードとセキュリティはトレードオフの関係にないので、非常に簡単に対応できます。”
Stella Connect 社エンジニアリング担当バイスプレジデント

Sysdig Secure によるコンテナのセキュリティ

コンテナのセキュリティと可視性のギャップを解消

イメージスキャン

継続的なコンプライアンス

ランタイムのセキュリティ

インシデント対応とフォレンジック

Sysdig Secureコンテナのセキュリティ

イメージスキャン

ランタイムのセキュリティ

継続的なコンプライアンス

インシデント対応

DevOps ワークフローへの統合

ビルド

CI/CD パイプライン

レジストリ

CI/CD Tools

Registry