ブログ

AWSのBottlerocketでコンテナを保護および監視する

AWSのBottlerocketでコンテナを保護および監視する

本文の内容は、2020年8月31日にEric Carterが投稿したブログ(https://sysdig.com/blog/secure-monitor-aws-bottlerocket/)を元に日本語に翻訳・再構成した内容となっております。

Sysdigは本日、AWSがLinuxコンテナをホスティングするために設計された特別な目的のオペレーティングシステムであるBottlerocketのGAローンチをサポートしました。オーケストレーションされたコンテナ環境では、数百台のコンピュートノードが稼働する可能性があります。コンテナホスト上で汎用Linuxを動作させることは、ITチームにとっては、クラスタ全体に渡ってパッケージのパッチ適用や更新をしなければならないという複雑さをもたらします。さらに悪いことに、コンテナを実行するために必要ではない機能やパッケージは、不必要なセキュリティ上の問題を引き起こします。そこで登場するのがBottlerocketです。

Bottlerocketは、コンテナを実行するためのOSのセキュリティと管理を向上させるように設計されています。必要不可欠なソフトウェアのみが含まれており、その結果、攻撃の側面を減らし、リソースの使用量を改善し、OSのアップデートを容易にします - 特にAmazon EKSのようなコンテナオーケストレーションサービスを使用している場合において、Sysdigは、SysdigエージェントとBottlerocketの相互運用性をテストし、AWSのお客様が新しいコンテナに最適化されたOSとともに、当社のSecure DevOpsプラットフォームで利用可能なセキュリティおよび監視ワークフローを利用できることを確認しました。

Bottlerocketとは?

Bottlerocketは、コンテナに最適化されたOSとして知られている専用のOSの一種です。コンテナに最適化されたOSの他の例としては、Red Hat Enterprise Linux CoreOS (RHCOS)、Rancher OS、Project Atomicなどがあります。これらのソリューションの多くと同様に、Bottlerocketはオープンソースプロジェクトとして開発されています。また、運用上のセキュリティとスケールを強化するために、最小限のフットプリントでコンテナを実行するために必要なものだけをパッケージ化するなど、似たような側面も共有しています。

20200907-title.png

コンテナを実行するためのクラウドのトップロケーションとして、AWSは多くの学びを得ており、それをBottlerocket OSに適用しています。Bottlerocketは、AmazonのECSに最適化されたAMIとEKSに最適化されたAMIから得たコンテナ固有の顧客からのフィードバックの恩恵を受けています。

AWSの主な注目分野は以下の通りです。

1) セキュリティ強化の必要性

2) クラスタ全体で同一の OS インスタンスを有効にする方法

3)より良い運用行動とツール

Amazonによると、Bottlerocketの特徴は、OSソフトウェアをパッケージごとに適用するのではなく、1つのステップで適用するイメージベースのアップデートなどの機能だという。これにより、一貫性と自動化が向上するだけでなく、管理のオーバーヘッドが削減されることを意味します。ユーザーは、OSのアップデートが容易になり、アップデートの失敗が減り、何かが計画通りに動作しなかった場合にロールバックできるようになります。

さらに、BottlerocketはAPI主導の設定を提供します。意図的に、BottlerocketはSSHを禁止しています。これは主に、攻撃者がシステムへの足がかりを得るのを難しくするためです。その代わり、管理者はコントロールコンテナを使用して、Amazon SSMエージェントとAWS Systems Manager APIを使用してBottlerocket APIとのやりとりを容易にすることができます。

これらの機能とそれ以上の機能が連携して、コンテナユーザーにいくつかのメリットを提供しています。

セキュリティとリソース利用率の向上

管理間接費・運用コストの削減

コンテナアプリケーションのアップタイムの向上

Bottlerocketの中で何が行われているのかを細かく説明するのではなく、AWSサイトのブログをチェックするのが一番の方法だと思います。

次に、Sysdigユーザーにとってこれが何を意味するのかを見てみましょう。

SysdigとBottlerocket

セキュリティと監視に対するSysdigのアプローチの主な利点の1つは、粒度の高いsyscallデータに基づく単一の真実のソースからの可視性です。このデータはSysdigエージェントを使用して収集されますが、Kubernetesの場合は通常DaemonSetとして実行され、クラスタ内のノードの可視性を簡単にスケールアップしたりスケールダウンしたりすることができます。この機能は、Falcoエンジンを介したSysdig Secureによるランタイムセキュリティや、Sysdig Monitorによるパフォーマンス監視のためのメトリクス収集などのワークフローの基本となるため、AWSのようなパートナーと緊密に連携して、Bottlerocketのような新たな進化を遂げたSysdig機能の有効化、テスト、認証を行うことが重要です。

20200907-2.png

BottlerocketのGAにより、Sysdigユーザーは自信を持ってSysdigエージェントをデプロイし、従来のカーネルモジュールのアプローチを利用するか、eBPFを使用してコンテナ用のSysdigのコア機能を駆動するシステムコールデータ(その他)を利用することができるようになりました。

このサポートが有効になったことで何ができるようになったのでしょうか?簡単な例を挙げてみましょう。

コンテナの脆弱性や設定ミスを検出するために単一のワークフローを使用します。

パフォーマンスに影響を与えることなく、実行時に脅威を検出して防止します。

インフラストラクチャー、サービス、アプリケーションの健全性とパフォーマンスの監視

Prometheusの監視をKubernetesクラスタやクラウド全体でスケールする

コンテナがなくなった後も、トラブルシューティングとフォレンジックを実施

Sysdigで可能になった様々なDevOpsワークフローの詳細については、Secure DevOpsのための必須ワークフローについてのVictorのブログをご覧ください。

まとめ

Bottlerocketは、急速に変化するコンテナエコシステムにおける重要な進歩です。Bottlerocketの立ち上げに参加しているAPNパートナーの一社であることを嬉しく思います。このリリースにより、Amazonは組織がクラウドネイティブアプリケーションを効率的かつ安全にデリバーするための新しい方法を推進することを支援しています。Sysdigは、お客様が迅速に結果を得るために必要な可視性とセキュリティを確保できるよう、Bottlerocketのようなソリューションのサポートをタイムリーに提供することをお約束します。

Sysdigが何ができるのかを直接ご覧になるには、無料トライアルに申し込むのが一番です。こちらをクリックするだけで簡単に数分で完了します。

ご質問・お問い合わせはこちら

top