ブログ

Tales from the Crypt o' mine - 4つの不気味なショートストーリー

Google Cloudとコンテナの継続的なセキュリティ

本文の内容は、2021年10月28日にMiguel Hernándezが投稿したブログ(https://sysdig.com/blog/short-spooky-stories-halloween/)を元に日本語に翻訳・再構成した内容となっております。


ハロウィンはもうすぐですね 🎃

クラウドネイティブの友人たちと一緒に、暖炉の周りに座ってスモアを食べながら、不気味な話をしているところを想像してみてください。

ここでは、クラウドコミュニティのための最高のお化け話をご紹介します。楽しんでください。そして、素敵なハロウィーンをお過ごしください。

出会いたくない...ザ・シング!?

The Thing!
いつもの金曜日の夜、DevOpsエンジニアはクラスターバレーと呼ばれる静かな南のノードで新しいデプロイメントを適用しました。そして、何の心配もなく家族と一緒に帰宅しました。

彼らは、ポッドの1つが放射性☢️メモリーリークを起こしていることを知りませんでした。

スキルの低いエンジニアがメモリの制限を設定していなかったため、災害は早晩始まりました。

放射能を帯びた塊がノード01の周辺で制御不能な状態で成長し始めたのだ。シングは出会うもの全てを食べ尽くし、ノード01の近隣住民は家を捨てざるを得なくなりました。

シングはゆっくりと、しかし執拗にノードの中を進み、邪魔なメモリをすべて消費していきました。

月曜の早朝、DevOpsエンジニアがオフィスに戻ってきて、その惨状を目の当たりにしました。全てが混沌としていました...ノード01にはThe Thing以外誰も残っていませんでした。Node 01はゴーストノード👻となり、介入しようとしても反応しなくなりました。

時折、クラスターバレーの管理者が設定したPrometheusインスタンスが、近隣から健康なノードのサンプルを受け取ることがありますが、それだけです。ある人は、The Thingがまだそこにいて、Node1からメモリを消費していると言いますが、それはカーネルを生かすのに十分なだけです(それが生命と呼べるならば)。

子供たちよ、放射性物質に汚染されたクラスターと、通常のクラスターのメモリ制限を適正化することを忘れないでくれ

David de Torres - Sysdig社 インテグレーション・エンジニア

ミュータントタグに注意!

mutants tags
この物語は、foo:2.4.5とbar:1.0.0-rc1という2つの素敵なイメージから始まります。彼らは コンテナランドに住む幸せなイメージでした。10月31日に開催されたクラスターパーティーで出会った彼らは、恋に落ちました。

数ヶ月後、彼らは同じリポジトリに同居し、alice:latest と bob:slim も作成しました。

次の年のハロウィンの夜、alice:latestとbob:slimは暗い隣人の家を調査することにしました。まるで誰も住んでいないかのように、ドアも窓もすべて開いていました。

その場所は奇妙な香りを放っており、影から見られているような気がしました。

すぐにalice:latest and bob:slimは自分たちが危険にさらされていることに気づきましたが、時すでに遅し。ミュータント!

Foo:2.45とbar:1.0.0-rc1は、ハードな仕事を終えて家に帰ると、子供たちに何か変なことが起こっていることに気づきました。彼らは今や恐ろしいミュータントモンスターと化し、恐ろしい脆弱性に満ちていて、"チップやトリック "を求める人を食べていたのです。ミュータントなのだから、タグに注意を払うべきだった。

アルバロ・イラディエル - Sysdig社プロダクト・アナリスト

Falco Van-Helsing、マイニング・ヴァンパイアと対戦

Falco Van Helsing
ノードタウンに新しいコンテナが到着した。遠い国からやってきたコンテナで、マイニングで稼いで、今は静かな町で引退したいというものだった。その直後、何者かが貧しいポッドの隣人たちの血(別名:CPU)を貪り始めた。

「これは優秀な探偵の仕事だ!」とSREの市長が言った。そして、クラウド・ネイティブ・コミュニティのヒーローであり、非常に有名な探偵であるFalco Van-Helsing氏を呼びました。

ヴァン・ヘルシングは、ノード・タウンのすべてのCPUの血を吸っていた獣の足跡をたどったが、それは簡単ではなかった。怪物はよく隠れていて、誰がすべてのポッドを疲弊させたままにしているのかを示唆する手掛かりは目に見えていなかった。

カーネル・アレイの暗闇に潜入したヴァン・ヘルシングは、ヴァンパイア・コンテナがどのようにノード・タウンの下水道に隠れていたかを示すいくつかのシステムコールを発見した。そこでヴァン・ヘルシングは彼らを追いかけ始めた。それは、無害な作業負荷に見せかけて、町全体のCPUを吸血している新しい金持ちの鉱夫コンテナだったのです

ヴァンパイアは大きな戦いを見せたが、ヴァン・ヘルシングが収集したすべての情報に勝る攻撃者はいなかった。探偵は声を大にして言った。"Rootの力で、このクラスターを放棄してください!" そして、大義のためにヴァンパイア・コンテナはNode Townから追放された。

吸血鬼たちよ、もしFalco Van-Helsingの他の壮大な戦いを読むのが好きなら、彼のSysrv Botnetとの戦いを見逃さないでくれ。

Jesus Samitier - Sysdig社のDevOpsコンテンツエンジニア

一連の不幸なカーネル事件(ファルコン・スニケット著)

Podelaire orphans
ハッピーエンドの物語に興味があるなら、いくつかの記事を読んだ方がいいでしょう。CNCF プロジェクトの技術文書を読んだり、オープンソースプロジェクトに Pull Request を出したりしてみてください。🧡みんなオープンソースプロジェクトに貢献するのが好きなんだよ🧡。

この記事はハッピーエンドではありません...しかし、ハッピースタートでもありません! というのも、ポデレールの3人の若者には、ほとんどハッピーなことが起こらなかったからです。

私の名前はファルコン・スニケット、ポデレール家の孤児たちの一連の不幸なカーネルイベントを記録するのが私の義務です。しかし、それは私の義務であって、あなたの義務ではありません。このブログを読むのをやめて、植物に水をやったりワニに餌をやったりするような、悲しみと絶望の穴に引き込まれないようなものを作ればいいのです。

並外れたポデレール家の孤児たちは、長年の家訓を解き明かすために、試練や苦難、そして邪悪なアリフ ァーザ伯爵に直面する。

邪悪なことは次から次へと起こる。まず、アリフはIAMの誤設定を悪用してアカウントに入り込み、ポデレール家のすべての資産をインターネットに公開し始めました。すべてのインバウンドポートには、インターネット全体からの接続を受け入れるルールが設定されています(0.0.0.0/0 & ::/0)。

ポデレールの孤児がそれを解決するためにコンソールにログインすると、すべてのアカウントでMFAが無効になっていることがわかりました。「心配しなくても、安定した設定を回復してこれを解決するよ」と孤児の一人は言いました。しかし、S3のバックアップがすべてシステム的に削除されていることに気づいて、彼らはその楽観主義を失った。すべてが失われたのです。

彼らはすべてが終わったと思いました。しかし、邪悪なアリフ伯爵は、邪悪な活動を続けていました。

ポデレール家の3人の孤児にとって、最悪の結末が待っていた。アリフ伯爵は、自分たちに仕掛けられた罠から逃れようとしましたが、彼らは決して安心することができませんでした。アリフ伯爵はいつも、自分たちの身分証明書をあちこちに付箋で見えるようにするなど、さらなる混乱をもたらして戻ってきたのです

この孤児たちを助けるためにできることは何もありません...しかし、冷静になってください。このようなことが起こり、効果的に解決しなければならないときは、このクラウドとコンテナのための統一された脅威検知を使ってください。

Miguel Hernández - Sysdig社のセキュリティ・コンテンツ・エンジニア


あなたは安全になりたいですか?

私たちがこの記事を書いたように、皆さんがこの記事を読むことを楽しんでくれたことを願っています。これらの物語はすべて、最善のセキュリティ対策が守られていなければ、現実のものとなる可能性があります。

Sysdigに関するお問い合わせはこちらから

最近の投稿

カテゴリー

アーカイブ

ご質問・お問い合わせはこちら

top