コンテナやFaaSでは、アプリケーション自体へのセキュリティ実装を
コンテナ、サーバレスのセキュリティ対策として、トレンドマイクロではTrend Micro Cloud Oneを提供している。これは、7つの多様なサービスで構成される、クラウド環境をまとめて保護するセキュリティサービス群だ。ストレージ向けサービス、アカウントの設定不備を見つけるサービス、オープンソースの脆弱性を確認するサービスなどが用意されており、コンテナ、サーバレスのセキュリティ機能もある。それらがCloud Oneのプラットフォームで提供されている。
Trend Micro Cloud One – Container Securityは、コンテナ環境の開発プロセスの中で、レジストリに保存されているコンテナイメージに対して脆弱性や不正プログラムなどを見つけることができる。また決められたポリシーベースで、コンテナのデプロイを制御する機能もある。他にもコンテナランタイムを監視して、不正ファイルの実行なども検知できる。これは「イメージのデプロイ前にセキュリティチェックができるサービスになっています」と福田氏。セキュリティをシフトレフトできるサービスだと言う。
アプリケーションセキュリティは、アプリケーション自体にセキュリティを実装することで保護する機能だ。これによりコンテナのマネージドサービスやサーバレスで動いているアプリケーションも守ることができる。RASP(Runtime Application Self Protection)というセキュリティ機能の実装方法を採用したもので、保護対象のアプリケーションのコードに数行追加することで、トレンドマイクロが用意している外部ライブラリを読み込み、アプリケーション自体にセキュリティ機能を実装するものとなる。この機能を使えば脆弱性を突いた攻撃通信や、リモートコマンドの実行防止、リダイレクト攻撃や不正なファイルアクセスなども防止できる。
「WAFはネットワーク・インラインで、外部からの通信を捌いて実施するセキュリティ製品になります。一方RASPは、アプリケーションの内部の挙動を見るので、WAFを通過してもアプリケーションの内部で脅威を捕まえることができます」と福田氏は説明する。
この他にもCloud Oneには、ネットワークIPSのサービス(Trend Micro Cloud One – Network Security)も搭載している。コンテナ、サーバレスの環境を外部接続する場合に、一旦このIPSのサービスでアクセスをスキャンしてからアプリケーションに戻すことができる。たとえばパブリックサブネットでIPS機能を用いてスキャンしてから、プライベートサブネットのPodに安全な通信を流すような使い方ができる。
改めてコンテナやFaaSでは、アプリケーションレイヤでのセキュリティ実装を検討してほしいと強調する。「これはトレンドマイクロの人間としてではなく、セキュリティ屋さんとしての意見です」と福田氏。利用するクラウドサービスによっては仮想マシンやネットワークレイヤでできる対策もあるが、境界防御を突破され、侵入前提の対策をとるという発想から、アプリケーション自体で守り、多層防御を強くしていくのはおすすめだ。そのため開発のパイプラインにセキュリティを組み込んでいくとの発想を、ぜひ持ってほしい。「キーポイントはかき揚げうどんではなくきつねうどんの作り方です」と言うのだった。
