Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2020年6月30日にPawan Shankarが投稿したブログ(https://sysdig.com/blog/file-integrity-monitoring/)を元に日本語に翻訳・再構成した内容となっております。
このブログでは、コンテナ内の不審なファイルアクティビティを調査し、ファイル整合性監視( file integrity monitoring : FIM)ワークフローを効果的に実装する方法を紹介します。また、コンテナとLinuxホストの両方にFIMを実装するのにSysdig Secureがどのように役立つかについても説明します。
ファイルの整合性監視により、機密性の高いファイルに関連するすべてのアクティビティを可視化できます。これは、アクティビティが悪意のある攻撃なのか、計画外の運用アクティビティなのかに関係なく、重要なシステムファイル、ディレクトリ、不正な変更の改ざんを検出するために使用されます。
ファイルが改ざんされていないかどうかを知ることは、インフラストラクチャーを安全に保つために重要であり、攻撃をできるだけ早く検出し、後で調査するのに役立ちます。
コンプライアンス:FIMは、PCI-DSS、NIST、SOC2、HIPAAなどの多くのコンテナコンプライアンス規制標準、およびCISベンチマークなどのセキュリティのベストプラクティスフレームワークを満たすための中心的な要件です。
インシデント対応とフォレンジックの場合:不正なイベントが発生した場合、機密ファイルがどのように変更されたか、誰がそれらの変更を行ったかを説明する完全な監査証跡が必要になります。コンテナの52%が5分以下しか存続しないことを考えると、これは非常に困難な取り組みと言えます。
例を使用して、ファイルの整合性監視の動作を見てみましょう。
ハッカーがマルウェアをコンテナ内の機密ファイルにコピーする攻撃を行います。次に、堅牢なFIMソリューションがこの攻撃を取り巻くすべてのアクティビティを検出および分析し、効果的に対応する方法を説明します。
ハッカーがコンテナ(VMまたはベアメタルホストの場合もあります)にアクセスし、マルウェアを/usr/binディレクトリにコピーし始めたとします。
コンテナ内のファイルパスの変更または変更の試みは、侵害の兆候です。
ランタイム時にホスト/コンテナを監視している場合は、この疑わしいアクティビティが警告されます。
疑わしいファイル変更ルールがすぐにトリガーされ、cpマルウェア/user/bin/dpkgコマンドが実行されました。
このファイルの変更を取り巻くアクティビティをさらに詳しく見ていきましょう。この攻撃は、JohnDoeという名前のユーザーによって実行され、ポッドにkube-execを実行して、機密性の高いJavaアプリケーションネームスペースの一部であるディレクトリにマルウェアをコピーしました。
kube-execセッション、作成された接続、および特定のファイル属性(ファイル名、ディレクトリ、コマンド、権限)で監査証跡をフィルタリングします。
特にコンテナは一時的なものであるため、Kubernetes内で何が起こっているかをいつでも詳細に知ることは困難です。しかし、この監査証跡は、ファイルがどのように改ざんされ、誰が変更を行ったかを、すべてクラウド環境とKubernetes環境のコンテキスト内で、そしてコンテナがなくなった後でも正確に示しています。
ファイルの完全性の監視は、コンテナのライフサイクル全体にわたって取り組む必要があります。 コンテナ環境とKubernetes環境に実装できる4つのベストプラクティスについて説明します。
特定のファイル属性をスキャンして、CI/CDパイプライン内のイメージスキャンポリシーの一部として埋め込みます。これにより、FIMポリシーが満たされない場合、セキュリティをシフトレフトさせ、ビルドを早期に失敗させることができます。
次のようなファイル属性を特定することから始めます。
Sysdig Secureは、デフォルトのコンテナーイメージスキャンポリシーとユーザー定義ポリシーを提供します。
ランタイム時にファイルシステムへの疑わしい変更を警告する検出ポリシーを実装します。これらは、強力なセキュリティ体制を実施するためのルールとして含める必要がある一般的なファイル整合性監視チェックです。
Sysdig Secureのルールライブラリのファイルシステムポリシー。これにより、FIMポリシーをすばやく簡単に実装できます。
ファイル改ざんイベントの場合は、次のような修復レスポンスを自動化させます。
Sysdig Secureは、アラートツールへの通知を自動的に修正およびトリガーできます。
通常、攻撃者は従来のセキュリティおよびフォレンジックツールを回避することに成功した巧妙な戦術を使用します。これに対処するために、コンテナー/ Kubernetesメタデータで強化された低レベルのsyscallデータを収集すると、だまされない単一の真の情報源が得られます。
オープンソースのSysdig Inspectを使用して、不審なファイルアクティビティの直前と直後に発生したすべてを分析します。
Sysdig Secureフォレンジック機能(Captures)は、攻撃前および攻撃後のコンテナアクティビティをすべて記録できます。これは、攻撃者がシステムファイルと構成でホストを改ざんした証拠です。
Sysdig Secureは、ホストとコンテナのFIMの実装を支援することで、セキュリティリスクの管理をサポートします。詳細については、https://sysdig.jp/にアクセスして、30日間の無料のSysdig Secureトライアルにサインアップしてください!