コンテナランタイムのセキュリティ

コンテナは、クラウドネイティブなインフラストラクチャの基盤です。 これらはスケーラビリティとスピードのゲームチェンジャーですが、その人気の高まりは、現代の企業にとってコンテナセキュリティの課題を生み出しています。 たとえば、 AWS Elastic Container Registry(ECR)の最近のセキュリティ上の欠陥 により、脅威アクターが他のユーザーのコンテナイメージに悪意のあるコードを挿入できる可能性があります。

以下では、コンテナランタイムセキュリティとは何か、企業が知っておくべき5つのランタイムコンテナセキュリティの脅威、および全体的なワークロードセキュリティ体制を改善するための主要なベストプラクティスとツールについて詳しく見ていきます。

デモをリクエストする 詳細はこちら

コンテナランタイムセキュリティとは?

コンテナランタイムセキュリティは、コンテナのインスタンス化から終了までを保護するためのツールとプラクティスのセットです。 これは、インスタンス化から終了までコンテナで発生するすべてのセキュリティを扱います。たとえば、コンテナランタイムセキュリティは、実行中のコンテナの脆弱性のスキャンを扱いますが、プレーンテキストのソースコードのスキャンは処理します。 つまり、脆弱性スキャナーはランタイムコンテナセキュリティツールの一例ですが、 SAST スキャナーはそうではありません。

ただし、コンテナー ランタイム セキュリティは孤立した概念ではありません。 コンテナ自体だけでなく、ソースコード、Kubernetes(K8)、Infrastructure as Code(IaC)を保護することは、エンタープライズコンテナランタイムのセキュリティの取り組みを成功に導く多層防御を提供するための重要な側面です。

企業が知っておくべきコンテナランタイムのセキュリティ脅威トップ5

以下の 5 つのコンテナランタイムのセキュリティ脅威は、コンテナワークロードを実行する企業に重大なリスクをもたらす可能性があります。

  1. Unauthorized container デプロイメント: MITRE ATT&CKの企業の敵対者が使用する手法のリストからのDeploy Container(T1610)は、コンテナのセキュリティ脅威の好例です。この手法では、攻撃者は、たとえばDockerのcreateコマンドやstartコマンドを使用して、セキュリティ制御をバイパスしてエクスプロイトを可能にするコンテナをデプロイします。
  2. 設定ミスと安全でない設定:安全でない設定は、最も一般的なコンテナセキュリティリスクの1つです。たとえば、不要なネットワーク ポートを公開したり、API キーをハードコードしたりするコンテナーは、安全でない構成の例です。
  3. マルウェアを含むコンテナイメージ: このリスクは、企業がパブリック コンテナー レジストリを使用する場合に特に顕著です。 脅威アクターは、マルウェアをコンテナイメージに埋め込み、企業が使用できるようにパブリックレジストリに投稿することができます。
  4. 特権エスカレーション攻撃: 攻撃者がコンテナーまたは基盤となるホストへのルート アクセスを取得する可能性のあるさまざまな特権エスカレーション攻撃があります。 これらの攻撃は、多くの場合、安全でない構成や既存の脆弱性を悪用することから始まります。
  5. パッチが適用されていない脆弱性: アプリケーションのアクセス制御のバグなど、比類のない脆弱性は、脅威アクターにコンテナを侵害する簡単な経路を提供します。

コンテナセキュリティランタイムのリスクを検出して修復する方法

シフトレフトセキュリティの概念と一致して、早期検出は効果的なコンテナランタイムセキュリティの鍵です。理想的には、企業はコンテナのインスタンス化が行われる前に脅威を検出する必要があります。

しかし、それは必ずしも実用的ではありません。 そこで、ランタイムスキャンと脅威検出の出番です。 脅威が検出されると、誤検知をインテリジェントに制限する方法で自動的に修復されるのが理想的なケースです。 残りのケースでは、セキュリティ担当者に迅速に警告を発し、是正措置を講じる必要があります。

5 ランタイムコンテナセキュリティのベストプラクティス

以下の 5 つのベスト プラクティスは、企業がコンテナー ランタイムのセキュリティ リスクを効果的に検出して修正するのに役立ちます。

  1. 信頼できるコンテナー イメージのみを実行します。 安全なリポジトリからのみ信頼できるコンテナイメージを実行することで、安全でないイメージをインスタンス化するリスクが制限されます。
  2. 継続的な脆弱性スキャンを実装します。 ポイント・イン・タイム・セキュリティー・チェックは便利ですが、それだけでは不十分です。 進化する脅威に先手を打つために、企業はワークロードを継続的にスキャンしてリアルタイムの脅威を検出する必要があります。
  3. 低い権限のユーザーでコンテナーを実行します。 企業は、コンテナをrootユーザーとして実行したり、 Docker の–privilegedフラグを使用して実行したりしないようにする必要があります。 一般に、コンテナーはホスト環境へのルート アクセスを必要としないため、ルートを使用すると最小特権の原則に違反します。 同様に、–特権フラグは、重要なセキュリティ制御をバイパスします。
  4. 書き込み可能なファイルシステムを有効にしないでください。 コンテナは通常、一時的なものです。 書き込み可能なファイルシステムを有効にすると、攻撃者が悪意のあるコードを作成して実行する可能性があります。
  5. 可視性とポリシー適用を一元化して自動化します。 コンテナを手動で監視して保護することはスケーラブルではありません。 また、人為的ミスも発生しやすいです。 企業は、コンテナのセキュリティとポリシーの可視性を一元化して自動化するツールを活用する必要があります。

効果的なコンテナランタイムセキュリティには包括的なアプローチが必要

コンテナーのランタイム セキュリティは、孤立して存在するわけではありません。 たとえば、 IaC セキュリティとコンテナー ランタイム セキュリティは密接に関連しています。 強力なセキュリティ体制を維持するには、企業はソフトウェア開発ライフサイクル(SDLC)全体にわたってセキュリティを統合する包括的なソリューションを実装する必要があります。 つまり、クラウド全体で企業全体の可視性とセキュリティを実現し、企業がコンテナを実行する場所を問わずセキュリティを提供するツールは、最新のワークロードとランタイムの保護に不可欠です。

CloudGuard Workload保護によるコンテナランタイムセキュリティ

CloudGuard Workload Protection は、クラウドネイティブのワークロードセキュリティソリューションです。 可視性と脅威対策を提供し、マルチクラウド環境全体でコンプライアンスを実現します。 CloudGuardを使用すると、企業は一元化されたプラットフォームから包括的で自動化されたセキュリティを得ることができます。 CloudGuard Workload Protectionには、次のような利点があります。

  • コンテナのセキュリティ: CloudGuardコンテナのセキュリティ機能には、K8sクラスタの詳細な可視性、コンテナイメージのスキャン、リアルタイムの脅威対策、中央アドミッションコントローラを介したポリシーの適用が含まれます。
  • サーバーレスセキュリティ: サーバーレス アプリは、企業に新たなセキュリティ上の課題をもたらします。 CloudGuardは、サーバーレス機能の潜在的な誤用や乱用を検出できる行動防御により、企業がサーバーレスセキュリティのリスクを軽減するのに役立ちます。
  • アプリケーション・セキュリティ: CloudGuard AppSec は、特許出願中のコンテクスチュアルAIエンジンを搭載しています。 CloudGuardは、最初に通常の動作をベースライン化し、次にプロファイルを作成してリクエストをインテリジェントにスコアリングし、企業のセキュリティ体制を損なうことなく誤検知を減らします。

コンテナのセキュリティについて詳しく知りたい方は、 今すぐデモにご登録ください。

×
  Feedback
このウェブサイトは、機能性と分析およびマーケティングの目的でクッキーを使用しています。 このウェブサイトを引き続きご利用いただくことで、クッキーの使用に同意したことになります。 詳細については、 Cookie に関する通知をお読みください。
OK