ブログ

Falcoルール リリースv0.7.0

Google Cloudとコンテナの継続的なセキュリティ

https://docs.sysdig.com/en/falco-rules-changelog.html

Falcoルール v0.7.0が2020年4月9日にリリースされました。

ルールの変更点

PCI/NISTタグを次のルールに追加:

  • Disallowed SSH Connection
  • Unexpected outbound connection destination
  • Unexpected inbound connection source
  • Write below binary dir
  • Write below monitored dir
  • Write below etc
  • Write below root
  • Read sensitive file untrusted
  • DB program spawned process
  • Modify binary dirs
  • Mkdir binary dirs
  • Change thread namespace
  • Launch Privileged Container
  • Launch Sensitive Mount Container
  • Launch Disallowed Container
  • Terminal shell in container
  • Unexpected UDP Traffic
  • Create files below dev
  • Contact K8S API Server From Container
  • Unexpected K8s NodePort Connection
  • Search Private Keys or Passwords
  • Clear Log Activities
  • Create Symlink Over Sensitive Files
  • Detect crypto miners using the Stratum protocol

Write below etc:

  • MS OMSプログラムとして"dsc_host"を追加
  • McAfeeに/etc/cma.dへの書き込みを許可する
  • AVI Networks supervisorがいくつかのssh cfgファイルに書き込む
  • OpenShiftシークレットディレクトリから/etc/pkiへの書き込みを許可する

Write below root:

  • runcに/exec.fifoへの書き込みを許可する

Change thread namespace:

  • Kubernetes/Dockerプログラムがホストで直接setnsを使用することのみを許可します
  • kubelet/hyperkubeの子プロセスにsetnsを使用を許可します

Run shell untrusted:

  • Puma reactorがシェルを生成する事を許可します

Detect outbound connections to common miner pool ports:

  • クリプトマイニングのホスト名を解決しようとする場合は、localhost/rfc1918 ipseを解決するホストを除外します

デフォルトポリシーの変更

  • デフォルトポリシー Launch Privileged Containerを削除します。
  • 使用していたルールは、既存のデフォルトポリシーのInadvised Container Activityにも含まれているため、ルールの適用範囲に変更はありません。
  • 新しいデフォルトポリシーであるPayment Card Industry Data Security Standard (PCI DSS)およびNIST 800-190 Application Container Security Guideは、デフォルトで無効になっており、PCIおよびNIST標準に特に関連するルールが含まれています。

Sysdigに関するお問い合わせはこちらから

最近の投稿

カテゴリー

アーカイブ

ご質問・お問い合わせはこちら

top