効果的なコンテナのセキュリティ戦略は多くの要素で成り立っています。企業はまず、安全なコード制御機能とビルドツールおよびコントローラーを使用して、ビルド環境を保護しなければなりません。次に、コンテナの検証、コード分析、セキュリティユニットテストを行って、コンテナの中身を保護する必要があります。最後に、ランタイム、プラットフォーム、およびオーケストレーションマネージャーのセキュリティに焦点を当て、本番環境におけるコンテナの保護のための計画を策定する必要があります。
しかし、コンテナのセキュリティはそこで終わりではありません。効果的なセキュリティプログラムには、あと2つの要素が必要です。それらは、モニタリングと監査です。
モニタリング
先に挙げたコンテナのセキュリティプロセスでは、予防的なセキュリティコントロールが採用されています。これらの対策では、脆弱性スキャンや暗号化などの広く理解された方法を使用して既知の攻撃ベクトルに対処します。しかし、それらのセキュリティ対策は既知の問題の解決を年頭に設計されているため、限定的であると言えます。想定外の問題を検出する場合、企業はモニタリングを行うことで、予期しないものを検知し、環境内のイベントを追跡して、攻撃の影響を探知できます。
ほとんどのモニタリングツールでは、まずハードウェアリソースへのリクエストやIPベースの通信などのイベントを収集することから始めます。次に、企業のセキュリティポリシーに照らしてそれらを調べます。この目的のためには、動的な振る舞い検知機能と決定論的なホワイト/ブラックリストポリシーを組み合わせたモニタリングソリューションを使用することをお勧めします。このようなソリューションは、両者の良いところを生かし、シンプルなポリシー違反と予期しない変更の両方の検出を可能にします。
モニタリングツールの評価の際には、次の点を確認すべきです。
-
デプロイメントモデル:製品はどのようにイベントを収集しますか?ホストOS内に組み込まれたエージェントを使用しますか?それとも特権コンテナベースのモニターでしょうか?
-
ポリシー管理:新しいポリシーの構築や既存のポリシーの変更を容易に行えますか?
-
振る舞い分析:どのような振る舞い分析のオプションがありますか?それらの柔軟性はどの程度ですか?
-
アクティビティのブロック:そのソリューションはリクエストやアクティビティをブロックする機能がありますか?そのような機能は、ポリシー違反をブロックして、承認されたコンテナの振る舞いのみを許可できます。それでも、エラーによってアプリケーションの誤動作が発生する場合があります。
-
サポートするプラットフォーム:どのOSをサポートしますか?
監査
コンテナのセキュリティにおいて、監査もまた不可欠な要素です。監査チームとコンプライアンスチームは、組織のコンテナに関して特別な懸念を持っているからです。たとえば、どの管理者が管理機能にアクセスする権限があるか、あるいはどのコンテナが制御されたデータにアクセスできるかといったことを知りたいと思っています。また、コンテナがどのように分離されているか、あるいは一般的な脆弱性に対処するプロセスを実証することが可能かどうかについても気にかけています。
そのような疑問には、操作ログ、コンフィギュレーションデータ、プロセスドキュメントなどを示して答えることができます。ただし、それらのコントロールとレポートを、アプリケーションが寿命の短いサーバー上のマイクロサービスとして存在する、コンテナオーケストレーションマネージャーやクラウドなどの新しい環境内にマッピングすることが課題となります。IPアドレスやアプリケーションのイベントログを使用しても、常に必要な基準点が提供されるわけではありません。その結果、企業が環境内の変化を反映するように数多くのレポートを調整する必要性が生じます。そうすることにより、API/アプリケーションレイヤでのモニタリングアクティビティを活用して、システムのアクティビティの完全な可視性を確保できるようになります。
完全なコンテナセキュリティ戦略
モニタリングと監査は完全なコンテナセキュリティ戦略の最後の要素です。Tripwireのeブック『The Complete Guide to Container Security』は、コンテナのセキュリティを実現するために必要なその他の要素とコントロールを紹介しています。eブックをすぐにダウンロードして詳細をご覧ください。
