リスク認識、古典的なサイバー セキュリティの原則、および特定の防御策により、データとプロセスのセキュリティが強化されます。 IT マネージャーは、独自のコンテナー セキュリティまたはクラウド サービス プロバイダーが提供するコンテナー セキュリティを使用して、アプリケーションをセットアップし、プロセスを機敏かつ柔軟に操作します。
しかし、コンテナーは最終的に実行可能なアプリケーションであり、リスクをもたらす可能性があります。 コンテナ ホスト サーバーとレジストリは、攻撃対象領域を拡張します。 IT セキュリティの古典的な原則と脅威に対する感度の向上は、新たに出現したギャップを埋めるのに役立ちます。
クラウドまたはオンプレミスのコンテナ
コンテナーは、非公開であるか、クラウド プロバイダーを通じて提供されているかに関係なく、ハッカーに次の XNUMX つの攻撃領域を提供します。
• ユーザーがコンテナのイメージを取得するレジストリ。
• コンテナのランタイム。
• コンテナ ホスト。 としても
• コンテナ オーケストレーションのレベル。
攻撃者は、さまざまな方法でこれら XNUMX つのセキュリティ ホットスポットに到達します。 最終的に、ターゲット ネットワーク内の任意のエンドポイントから必要な横方向の動きを開始できます。 その後、攻撃者は、レジストリ、コンテナー ホストのイメージ、または複数の冗長イメージを含むクラスターを侵害したり、正当なイメージを目的に悪用したりできます。 何よりも、彼らは自分たちの目的のためにリソースを使用したいと考えています。たとえば、クリプトマイニングや妨害サービスなどです。
したがって、IT セキュリティ管理者は、IT 防御の次の領域に注意を払う必要があります。
防衛戦1:画像確認
ユーザーがコンテナー イメージをパブリック クラウドから取得するか、プライベート レジストリから取得するかにかかわらず、注意が必要です。 攻撃者はレジストリを攻撃し、それを使用して、悪意を持って操作された一見正当なイメージをダウンロード用に提供することができます。
対策: IT 管理者は、安全なソースからテストおよび更新されたイメージを使用する場合にのみ、十分なセキュリティを確保できます。 さらに、IT 管理者は、本当に必要なサービスのみを使用する必要があります。 イメージをダウンロードしたら、最新の状態に保ち、セキュリティ リスクが報告されていないか確認してください。
防御シアター 2: コンテナーのランタイムを監視する
コンテナのランタイムへのアクセスは、攻撃者にさまざまな、潜在的に広範な機会を与えます。 たとえば、脆弱性にアクセスして社内に移植したり、悪意のあるコマンドを実行したり、正当なイメージ (Ubuntu オペレーティング システムなど) をバックドア コンテナーとして使用したりします。 また、コンテナーを介してホストにアクセスすることもできます。
対策: コンテナ ランタイムの堅牢な保護により、コンテナ内および関連するホスト内のプロセスが監視されます。 定期的なイメージの更新により、継続的なセキュリティが保証されます。
防御シアター 3: コンテナー ホストの保護
サイバー犯罪者がコンテナ ホスト環境へのアクセスを取得した場合、そこから制御されているすべてのプロセスが手の届くところにあります。 さらに、コンテナー サーバーまたはコンテナー ランタイムの脆弱性により、攻撃者は独自のコンテナーを実行する機会を得ることができます。
対策: コンテナーを実行するために特別に開発された Linux ディストリビューションは、より高いセキュリティを提供します。 各ホスト サーバーには、それ自体を保護するための独自のセキュリティ コントロールも必要です。 セットアップが完了したら、新しい脆弱性がないかホストを継続的に監視する必要があります。 安全な構成のための一般的なガイドラインが考慮されている場合、オペレーティング システム レベルでのリスクはすでに大幅に排除されています。
防衛戦 4: コンテナ オーケストレーションのリスク
セキュリティ ソリューションは、Docker ホスト上の攻撃者の横方向の動きを検出します (画像: Bitdefender)。
攻撃者は、コンテナ クラスタの管理も標的にしています。 原則として、このレイヤーはターゲット リソースへの不正な直接アクセスを提供します。 たとえば、ハッカーがパブリック クラウドの Kubernetes クラスターの資格情報を使用すると、サービス プロバイダーのクラスター全体を操作できます。 小規模なプロバイダーにとって、これは実際のリスクです。 公開されたオーケストレーション ダッシュボードは、認証なしでクラスターをリモートで管理するためのバックドアです。
対策: 不正アクセスを防止するために、役割ベースのアクセス制御と、ユーザーへの経済的な権利の割り当てをお勧めします。 ホスティング事業者または IaaS プロバイダーは、顧客の承認なしに既存のコンテナーの内容を変更できないようにする必要があります。 さらに、異なるアプリケーションによって共有される Kubernetes クラスター上のポッド間の安全な通信により、セキュリティが強化されます。
リスク認識がカギ
「コンテナのセキュリティはリスク認識から始まります。 Bitdefender のシニア ソリューション アーキテクトである Cristian Avram 氏は、次のように述べています。 「究極的には、従来のセキュリティ ルールをコンテナと関連する IT インフラストラクチャに適用することです。つまり、脆弱性の制御、パッチ適用、自動化されたセキュリティ、およびガイドラインに関係する全員のトレーニングです。 ゼロ トラストは、その大きな可能性により、良心的かつ継続的に監視できるテクノロジのセキュリティ メカニズムとして推奨されています。」
詳しくは Bitdefender.com をご覧ください
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de