コンテナデプロイ後の対策4つ
今度はコンテナデプロイ後の対策を簡単に見ていこう。
稼働中コンテナに対するスキャン
コンテナのファイルシステムでマルウェアが実行されたら、リアルタイムで検知して駆除する。従来のサーバーOSに導入するタイプのマルウェア対策ソフトでは、コンテナに対応していないケースもあるので注意が必要だ。
稼働中コンテナの脆弱性対策
脆弱性のなかにはイメージスキャンでは検出できなかったもの、検出したが許容したもの、新たに発見されるものもある。外部からの脆弱性をついた攻撃にそなえ、ネットワーク手前にWAFを設置する、ネットワーク上で攻撃パケットをとらえて対処するなどの対策が考えられる。
稼働中コンテナの不審な挙動を検出
周辺ネットワークの探索、外部との不正な通信、ツールのダウンロード、ログの改ざんや消去などはマルウェア特有の不審な挙動と言える。こうした挙動を検出して、早期に封じ込めれば被害を最小限にできる。事前に正規の挙動をルールまたは学習でホワイトリスト化、あるいは不審な挙動をブラックリストで検出する。
野村氏は「実際に不審な挙動が攻撃者の攻撃なのか、正規の挙動の範囲なのか、評価できるのはシステムを最も把握している開発者になりえます」と話す。
コンテナと外部、およびコンテナ間の通信制御
マルウェアは感染後に何らかの形で不正な通信を行うため、正規の通信先以外の通信を制御しておけば被害を最小限に抑えることにつながる。通信の制御は、ネットワークの設定やサードパーティー製品で実装可能だ。ただし正規の通信やアクセスコントロールの作成はユーザー側で行う必要がある。
野村氏は「クラウドネイティブやコンテナのセキュリティ対策を見ると、従来よりも開発者が関わるところが多くあるため、組織全体でセキュリティナレッジの強化が求められています」と強調する。
コンテナ環境のセキュリティ対策 Trend Micro Cloud One
クラウド環境を保護するソリューションとして、トレンドマイクロでは複合的なアプローチをとれる「Trend Micro Cloud One」シリーズを提供している。コンテナ環境では、ネットワークの境界部分で「Network Security」、仮想マシンなどサーバー環境を保護する「Workload Security」、ストレージを保護する「File Storage Security」、デプロイ前のセキュリティチェックとデプロイ制御からランタイム保護まで、コンテナ環境のセキュリティを一気通貫で実現する「Container Security」がある。さらに全体の設定不備を可視化する「Conformity」もある。
その他にも「Cloud Sentry」によるクラウド環境への定期スキャン、「Container Security」のランタイム脆弱性検索、「Open Source Security by Snyk」によるOSS脆弱性検索など、機能が拡充している。最新情報はCloud Oneのオンラインヘルプでチェックするといいだろう。
野村氏は「Cloud OneシリーズはAWSやAzure Marketplaceでも提供しており、30日間の無料トライアルも提供しているので、ぜひ使用感を確認してみてください」と呼びかけ、最後に「クラウドネイティブは設計時からセキュリティを作り込むことが求められています。組織でナレッジの強化、抜け漏れがないように多層防御でカバーいただければと思います。対策製品としてぜひCloud Oneシリーズもご検討ください」と述べて講演を締めた。
