NRI:「サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来」 クラウドセキュリティ コンテナセキュリティ 運用監視 いまさらですがCloud Native Security Conference 2022の動画版を視聴しました。 …

インストール 動作確認 シグネチャ機能 トレース機能 今回のテーマはAqua社が主導するコンテナトレーサ:traceeです。 システムコールフックのeBPFを利用していることからsysdig社Falcoが類似ツールだと思います。 aquasecurity.github.io インストール #eBPF…

インストール 設定ファイル 動作確認 Falcoを少し触ってみたのでメモ。 Falcoはシステムコールベースの脅威アラート機能を提供するOSSです。 MITRE ATT&CKの内容も取り込まれているようです。falco.org Matrix - Enterprise | MITRE ATT&CK® インストール ド…

Dockerfileのスキャンツール hadolint Trivy インストール Trivy hadolint 使い方 比較 検証1 検証2 検証3 検証4 まとめ 脆弱性スキャナのTrivyが設定ミスも検出できるようになったらしいので、少し触ってみました。 Dockerfileのスキャンツール hadolint gi…

スキャンの種類 静的スキャン アプリケーションコード Dockerfile コンテナイメージ 動的診断 アプリケーション プラットフォーム TrivyとDocker scan いつの間にかLinuxのDocker cliで脆弱性診断できるようになってたようです。 matsuand.github.ioDevOps、…

参考 コンテナランタイム コンテナオーケストレータ まとめ 参考 www.scsk.jp www.stackrox.com docs.microsoft.com cloud.google.com www.redhat.com コンテナランタイム こちらは、2020年におけるsysdigユーザのコンテナランタイム利用実態の調査結果です…

参考 Architecture Scope tasks service:Create TaskManager.Create startShim shim.Create NewContainer newInit NewRunc process.New Init.Create Runc.Create 今回のテーマは高レベルコンテナランタイムcontainerdの内部処理についてです。 こちらは、202…

参考 おさらい runc architecture file main.go and command process runc create setupSpec startContainer linuxContainer LinuxFactory createContainer CreateLibcontainerConfig loadFactory factory.Create runner.run newProcess linuxContainer.Star…

参考 OCI image(image-spec) OCI runtime bundle(runtime-spec) runcでコンテナを起動 コンテナイメージ第2弾です。 前回はDockerイメージとコンテナランタイムを紹介しました。kurobato.hateblo.jp今回は、下記の構成になります。 ・DockerイメージをOCIイ…

Dockerイメージの中身 manifest.json Config Layers コンテナランタイム Dockerイメージの内容を確認してみます。 Dockerイメージの中身 Dockerイメージをダウンロードしてtar形式で保存します。 $docker image pull ubuntu:latest $mkdir docker-image $cd …

テーマ 補足 特権コンテナによるホストOSへのアクセス 後片付け 第6弾は特権コンテナをテーマにした演習です。 テーマ docker run –privilegedオプション uevent_helper コンテナブレイクアウト 補足 $:ホストOS #:コンテナ内 特権コンテナによるホストOSへ…

テーマ 補足 setuidフラグの付与されたシェルの実行 コンテナ内権限昇格の防止 後片付け 第5弾はコンテナ内特権昇格の演習です。 テーマ ・setuidフラグ・no-new-privilegesオプション 補足 $:ホストOS #:コンテナ内 setuidフラグの付与されたシェルの実行 s…

テーマ 補足 PID名前空間の共有 後片付け 第4弾はcgroupによるリソース制限をテーマにした演習です。 テーマ ・cgroupによるコンテナのリソース制限 ・フォークボム 補足 $:ホストOS #:コンテナ内 PID名前空間の共有 docker runコマンドでリソース制限を実施…

テーマ 補足 PID名前空間の共有 後片付け 第2弾では名前空間の共有を確認します。 テーマ 名前空間の共有と脅威 補足 $:ホストOS #:コンテナ内 PID名前空間の共有 docker runコマンドに--pid=hostオプションを指定することによって、ホストのプロセスIDをコ…

テーマ カーネルの共有 ルートファイルシステムの分離 ネームスペースの比較 プロセス一覧の比較 uts名前空間、user名前空間 コンテナに付与された特権 後片付け 第1弾ではコンテナの仕組みを理解するためにコンテナ側とホストOSからリソースの見え方や権限…

Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド Container Security: Fundamental Technology Concepts That Protect Containerized Applications NIST SP 800-190 application container security guide CIS Benchmarks Container Security Bo…

コンテナセキュリティの考え方 仮想化環境やベアメタル環境との違い 多層防御とコンテナ コンテナの要素技術 Namespace pivot_root cgroups Linux capability コンテナの種類 特権コンテナの危険性 ファイルパーミッション システムコール ユニオンファイル…

最小限の特権 深層防御 攻撃対象の最小化 影響範囲の制限 権限の分離 最小限の特権 最小限の特権の原則は、個人または組織が必要とする最小限のアクセスに制限することを指します。 電子商取引アプリケーションで商品検索を行うマイクロサービスがあるとしま…

Microsoft NCC 外部からの攻撃者 悪意のあるコンテナ 悪意のあるユーザー／危害を加えられたユーザー CNCF Attack Trees ボトムアップアプローチ シナリオ・アプローチ Kubernetes Security Audit Working Group 脅威分析の目的は下記参照。 参考 Microsoft …

脅威のアクター コンテナの脅威 脅威分析の目的は下記参照。 kurobato.hateblo.jp セキュリティの観点から見ると、コンテナ化された環境では、多くが従来のデプロイメントと同じになります。世の中には、データを盗んだり、システムの動作を変更したり、他人…