ロード・トゥ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

コンテナのセキュリティ

コンテナアーキテクチャ

KubernetesやOpenshiftなどのコンテナ技術に普及は進んでいるようで、それに伴い、コンテナに対する攻撃もある。

xtech.nikkei.com

 

コンテナ環境を標的にした「kinsing」というマルウェアもあるようです。

atmarkit.itmedia.co.jp

 

一般的なベストプラクティスとして、コンテナのセキュリティについてNISTのドキュメントをIPAが翻訳して公開している。

https://www.ipa.go.jp/files/000085279.pdf

 

マルウェア対策ならウイルス対策ソフトをインストール、と思うがコンテナ環境でのウイルス対策ソフトってあるのか?という疑問。

 

こちらのブログで回答が得られる。

note.com

このあたり、もう少しクラウド側で、あらかじめ組み込まれていると有難いのですが。

 

コンテナのスキャン

CEHのテキストでは、19章クラウドコンピューティングで、技術的な説明から対策などが説明されていた。

Dcokerに対してはTrivy,Dadga,Clairで、KubernetesにはSysdigでスキャンを、という感じだった。

 

スキャナーについて、以下で詳しく説明されています。

qiita.com

ビルドのプロセス時に、脆弱性スキャンを実施して、脆弱性が見つかれば、
ビルドを停止させることで、脆弱性を含むコンテナを稼働させない方法がとられることが多いようです。

 

Trivyはシンプルで使いやすいようです。

github.com

まとめ

・ベストプラクティスの適用

アンチウイルス対策

・スキャン

という多層防御がコンテナのセキュリティ対策でしょうか。