組織はコンテナを使用して、クラウドで新しいレベルの効率性とスケーラビリティを実現しています。しかし、これにより、保護する必要のある攻撃対象領域が複雑になり、コンテナが攻撃者のターゲットとなっています。
コンテナのセキュリティは、コンテナイメージから始まります。開発者は、外部レジストリーの基本イメージを使用してイメージを構築することがあります。残念ながら、これらのイメージにはマルウェアや脆弱なライブラリが含まれている可能性があります。この現実により、クラウドセキュリティ戦略の一環として組織がイメージの評価を優先することが重要になります。
コンテナイメージの設定ミスの一般的なタイプ
ここでは、コンテナイメージに関する一般的なセキュリティの問題をいくつか紹介します。
コンテナでのrootユーザーアカウントの使用
root権限でコンテナを実行すると、ホストマシンを侵害しようとする攻撃者からの攻撃を受ける危険性が高まります。
古い、脆弱性やバックドアを抱えたイメージの使用
攻撃者は脆弱性を抱えたイメージや侵害されたイメージを利用しようとします。イメージスキャンは重要な防御策です。
Dockerグループに含まれる望ましくないユーザー
Dockerグループに属しているユーザーは、自身の権限をrootアクセス権へと昇格できます。これは、脅威アクターにとって格好の餌食となるポジションです。
特権フラグの使用
特権フラグを使用してコンテナを実行すると、ユーザーはホストのリソースにアクセスできるようになります。コンテナが侵害された場合に、これを攻撃者が悪用する可能性があります。
機密性の高いホストファイルまたはディレクトリをコンテナにマウントする操作
ユーザーはDockerを使用して、ホストマシンのファイルやディレクトリをコンテナにマウントできます。そのため、それらのファイルが機密性の高いものである場合、攻撃対象領域が拡大する可能性があります。
DockerやKubernetesに関連するこれらの設定ミスやその他の設定ミスは、組織にとって重大なリスクであり、それらを特定することは、クラウドセキュリティ戦略の重要な要素となります。
脅威アクターがコンテナを標的にする手法
リスクを軽減するには、組織が直面している脅威を知る必要があります。クラウド環境においては、さらにコンテナがどのように標的にされているかを理解する必要があります。
犯罪アクターが、不適切に設定されたDockerコンテナを悪用する事例も定期的に発生しています。Dockerイメージは、コンテナの作成に使用されるテンプレートです。これらのイメージは、スタンドアロンベースで、ユーザーがツールやサービスと直接対話するために使用するか、もしくは、別のアプリケーションの親として使用できます。このような階層モードでは、悪意あるツールを紛れ込ませるようイメージが変更された場合、そのイメージから派生したコンテナも感染します。
2021年、CrowdStrike Intelligenceは、コンテナを初期感染ベクトルと並列追跡タスクの手段の両方として使用するマルウェアファミリDokiについて報告しました。悪意のあるアクターは一度アクセスを取得すると、昇格された特権を悪用してラテラルムーブメントを実行し、ネットワーク全体に拡散することができます。CrowdStrike Intelligenceは、Kubernetesクラスターの構成要素へのアクセスと変更を含む攻撃者のオペレーションも追跡し続けています。
Kubernetesは、アプリケーションと関連する共有リソースの展開、スケーリング、管理を自動化するオープンソースのコンテナオーケストレーションシステムです。CrowdStrike Falcon OverWatch™の脅威ハンティングチームは、企業環境内で稼働するKubernetesクラスターに対する攻撃者の関心が高まっていることを確認しています。Kubernetesフレームワークは、多数の構成要素から成る複雑なシステムです。このため、攻撃者に1つのコンポーネントへの初期アクセスを提供し、その後、本来の標的であるリソースへのアクセスにつながるラテラルムーブメントを可能にするための格好の標的となる設定ミスが起こる可能性があります。
コンテナを保護する方法
コンテナイメージの攻撃対象領域を減らす(デバッグツールの削除など)
攻撃対象領域を減らすために、企業はビルドからランタイムまで、脆弱性、マルウェア、コンプライアンス違反などの検知に注力する必要があります。
コンテナの作成およびコンテナレジストリーへのステージングプロセスの一部として脆弱性スキャンを実行する
脆弱性スキャンにより、企業は攻撃者に悪用される前にセキュリティ問題を捕捉することができます。
公に共有されたコンテナイメージの使用を避ける
これらのイメージは古くなっていたり、脆弱性を抱えていたりする可能性があり、クラウド環境にさらなるリスクをもたらす可能性があります。
コンテナの特権を制限する
最小特権の原則に従って、コンテナに過剰なアクセス許可がないことを確認します。
クラウドインフラストラクチャを安全に保つには、CI/CDパイプライン全体のセキュリティカバレッジが必要です。CrowdStrike Cloud Securityは、セキュリティをシフトレフトし、コンテナを積極的に評価することで、脆弱性、埋め込まれたマルウェア、保存されているシークレット、その他のセキュリティ問題を展開前に特定し、組織のリスクを軽減できるよう支援します。