2024年度クラウドネイティブセキュリティおよび利用状況レポート
このブログでは、Kubernetes環境のセキュリティ侵害指標(IoC)を監視データを使用して検出する方法について説明します。
Kubernetesのセキュリティは、設定の柔軟性、大規模なクラスター、エフェメラルコンテナ、そしてサービスエコシステムの複雑さにより困難です。
敵対者はこの複雑さを利用して攻撃を容易にします。
セキュリティと監視ツールが連携せずデータがサイロ化されると、環境は無防備になりがちですが、監視システムは悪意のある攻撃の兆候を早期に検知する可能性があります。
セキュリティチームが監視データにアクセスすることで、セキュリティ侵害の兆候を早期に把握し、迅速に対応できます。
IoCのトップ10としては、コンテナのメモリ/CPUスパイク、異常なアウトバウンドネットワークトラフィック、クラスター管理者ロールへのアタッチ、ユーザーの異常な活動、異常なインバウンドトラフィック、ファイルシステムやディレクトリの予期せぬ変更、DNSリクエストの異常やスパイク、異常なHTTPレスポンスサイズ、未知のバイナリプロセスの生成、HTTP 403および404エラーコードのスパイクなどが挙げられます。
セキュリティはソフトウェア開発ライフサイクル全体にわたって不可欠であり、Secure DevOps文化の完全な導入が推奨されます。
