コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2019年4月17日にSysdigの Pawan Shankarが投稿したブログ(https://sysdig.com/blog/nist-sp-800-190-compliance-assurance-with-sysdig-secure/)を元に日本語に翻訳・再構成した内容となっております。

2017年9月、米国国立標準技術研究所（NIST）は、特別刊行物（SP）800-190、アプリケーションコンテナーセキュリティガイドをリリースしました。 NIST SP 800-190は、コンテナテクノロジーに関連するセキュリティの問題、およびイメージの詳細とコンテナランタイムセキュリティに関する推奨事項について説明しています。イメージ、レジストリ、オーケストレーター、コンテナー、ホストOS対策など、さまざまなセクションの規範的な詳細を提供します。

Kubernetesの人気を考えると、Sysdigでの私たちの使命は、Kubernetesおよびコンテナのデプロイメントを推進する能力を妨げるセキュリティおよびコンプライアンスリスクを組織が緩和するのを支援することです。Sysdig Secureはコンテナのコンプライアンスを提供し、イメージがNIST 800-190コントロールに準拠することを可能にします。

I. NIST 800-190のコンテナイメージスキャンポリシー

Devopsへのセキュリティの統合は多くの企業にとって新しいものですが、Devopsプラクティスが提供する開発の俊敏性により、アプリケーションがコンプライアンス違反に対して脆弱になる可能性があるため、必須です。Sysdig SecureのNIST 800-190のアウトオブボックスのフレームワークにより、お客様はコンテナのデプロイメントライフサイクルでKubernetesおよびコンテナのコンプライアンスを実施でき、KubernetesおよびOpenShift環境で実行されているコンテナイメージの追加チェックを提供します。これらのポリシーをカスタマイズして、「警告」または「停止」アクションを作成することもできます。

II. CI/CDパイプラインにおけるNIST SP 800-190準拠

デプロイメント前にイメージセキュリティスキャンポリシーチェックを定義することにより、NIST 800-190へのコンプライアンスを確保できます。これを実現するために、Sysdig SecureはJenkins、CircleCIなどのCI/CDパイプラインツールと統合して、本番環境またはコンテナレジストリにプッシュされる前にイメージをスキャンします。

III. NIST 800-190コンプライアンスレポート

監査では、組織は特定の期間にわたってコンプライアンスを証明するよう求められます。これは、開発者とアプリケーション所有者が絶えず新しいコンテナイメージをデプロイするKubernetesとコンテナ化された環境で、多くの場合セキュリティレビューなしで重大な課題をもたらします。Sysdig Secureを使用すると、現在のコンプライアンス状況をレポートでき、ポリシー評価の履歴スナップショットも保持するため、過去の期間のコンプライアンス保証も証明できます。 以下のような生成されるNIST 800-190コンプライアンス保証レポートを見ることができます。

コンプライアンスレポートは以下の内容を提供します。

• 指定したリポジトリおよびレジストリ内でスキャンされたリソースの可視性
• ユーザーがカスタマイズしたNISTスキャンポリシーに基づいて、NISTチェックでパスおよびフェイルしたイメージの数の概要。このポリシーは、Jenkins、CircleCI、BambooなどのCI/CDパイプラインでネイティブに活用して、脆弱なイメージが本番環境に入らないようにすることもできます。
• 違反した特定のコンプライアンス管理。 違反をクリックすると、脆弱性、パッケージ、既知のCVEなどに関する詳細情報を取得できます。

IV. NIST SP 800-190ポリシー違反のアラート

Sysdig Secureを使用すると、NIST 800-190コンプライアンスポリシー違反が検出されたときにトリガーするように柔軟なアラートを構成できます。アプリケーション（クラスターやネームスペースなどのKubernetesリソース）またはチームごとに異なる通知を設定できるため、所有者は迅速に応答して対処できます。

Sysdig Secureを使用したNIST 800-190アプリケーションコンテナセキュリティガイドの実装

Sysdig Secureは、コンテナライフサイクル全体にわたってKubernetesおよびOpenShift環境で実行されるイメージのNIST 800-190標準の継続的なコンテナコンプライアンスを自動化できます。その結果、Sysdig Secureユーザーは、実行時および監査中に、イメージスキャン、Kubernetes、およびDockerコンテナのコンプライアンスを確保できます。

Sysdig Secureは、NIST 800-190 SECTION 4の中で、4.1 イメージ対策、4.2 レジストリ対策、4.3 オーケストレータ対策、4.5 ホストOS対策にお役に立てます。

NIST 800-190 SECTION 4

4.1 イメージ対策

4.1.1 イメージの脆弱性

4.1.2 イメージ構成の欠陥

4.1.3 組み込みマルウェア

4.1.4 埋め込まれたクリアテキストの秘密

4.1.5 信頼できないイメージの使用

4.2 レジストリ対策

4.2.1レジストリへの安全でない接続

4.2.2レジストリ内の古いイメージ

4.2.3不十分な認証と承認の制限

4.3 オーケストレータ対策

4.4.1 ランタイムソフトウェア内の脆弱性

4.4.2 コンテナからの無制限のネットワークアクセス

4.4.3 安全でないコンテナランタイム構成

4.4.4 アプリの脆弱性

4.4.5 不正コンテナ

4.5 ホストOS対策

4.5.1 ラージ攻撃対象

4.5.2 共有カーネル

4.5.3 ホストOSコンポーネントの脆弱性

4.5.4 不適切なユーザーアクセス権

4.5.5 ホストファイルシステムの改ざん

4.6 ハードウェア対策

ハードウェア

PCIコンプライアンスにご興味のある方は、こちらのホワイトペーパーをご参照ください。

Sysdigに関するお問い合わせはこちらから