コンテナセキュリティ:Kubernetes を保護するための基本ガイド

現代のサイバーセキュリティ環境は、新たな脅威にあふれています。侵害は避けられません。これは問題ではありません もし しかし いつ 破られるよ

つまり、ネットワーク内に脅威に対して安全な環境があるとは想定できないということです。コンテナは攻撃者の標的としてますます人気が高まっています。これらは強力な DevOps ツールですが、特に他のインフラストラクチャーに重ねる場合、独特のセキュリティ上の課題をもたらします。

この投稿では、コンテナのセキュリティに注意を払う必要がある理由と、IllumioがKubernetes環境の保護にどのように役立つかについて説明します。

コンテナはデフォルトでは安全ではありません

コンテナ 通常、Kubernetes または OpenShift によって管理されます。Kubernetes 環境は動的で存続期間が短いため、多くの人が Kubernetes 環境は脅威の影響を受けにくいと考えています。これはまったく真実ではありません。

コンテナに関するセキュリティ上の誤解は、同じ仮定がすぐに間違っていることが証明されたVMの初期の頃を反映しています。コンテナは、他の環境と同様に、独自のセキュリティ脅威に直面しています。攻撃者は、金銭的利益、データスパイ活動、インフラストラクチャの混乱、クリプトマイニング、DDoS 攻撃のためのボットネット展開など、使い慣れた目標を念頭に置いてコンテナに侵入します。

Kubernetes は、クラスターを保護するうえでいくつかの独特な課題に直面しています。

コンテナに関するセキュリティリスクは何度も証明されています。

• サイロスケープ、ヒルデガード、CR8エスケープマルウェア というテクニックを使う スレッドのなりすまし コンテナ経由でネットワークを侵害します。Kubernetes クラスターを直接ターゲットにすることはありません。代わりに、クラスターを使用して基盤となるノードに「脱出」し、そこから悪意のあるコードを実行します。これによりインフラストラクチャーが混乱し、ホストされている Kubernetes クラスター全体が下からダウンする可能性があります。

• キングスマルウェア 悪質なクリプトマイニングコードを実行するために追加のポッドをデプロイするために利用する、一般的な PostgreSQL サーバーの設定ミスを検出します。このマルウェアはデータを抽出しませんが、クラスターのリソースを無料で使用するため、所有者のコストが増加します。

• サプライチェーン攻撃 SolarWindsやCodeCovのように、従来のセキュリティ対策をバイパスした外部コードリポジトリを介してKubernetesクラスターに侵入しました。

マルウェアはKubernetesでどのように拡散しますか?

すべてのサイバー脅威には共通点が1つあります。それは、動きたいということです。攻撃者は、いったん環境に入ると他のリソースに横方向に広がり、最終的にはターゲットに到達することを目指します。

マルウェアの拡散 環境に関係なく、人間の行動やオープンポートを利用します。

残念ながら、サイバーセキュリティにおいて最も弱いのは人々です。どのようなトレーニングを受けたとしても、ユーザーがうっかり危険なリンクをクリックして、マルウェアがネットワークに侵入する可能性があります。マルウェアは侵入すると、開いているポートをスキャンして他のワークロードに拡散させます。

マルウェアは従来、オープンRDP、SSH、またはSMBポートを使用してペイロードを他のワークロードに配信していました。同様に、Kubernetes クラスターでは NodePort と Kubelet が使用するポートが開いていることが多く、攻撃者が Kubernetes ワークロードを介して簡単に拡散できるようになっています。‍

Kubernetes の保護:マイクロセグメンテーションと脅威検出の組み合わせ

サイバーセキュリティ業界は従来、検出と対応のアプローチを採用してきました。脅威ハンティング検出ツールは、ワークロードとアプリケーションを監視して異常な動作がないか調べます。悪意のあるものを発見した場合、セキュリティチームはその脅威を根絶するよう努めます。

しかし、これらの検出ツールがどれほど高速であっても、今日の脅威はより速く拡散する可能性があります。さらに悪いことに、いったん侵害が検出されると、その侵害はすでに環境全体に広がっている可能性があります。組織は、検出ツールが 100% 効果的であるとは期待できません。

セキュリティ侵害は、オープンポートを介してワークロード間で広がることがわかっています。つまり、脅威の拡散を防ぐために脅威の意図を理解する必要がないということです。最初にセグメントを監視して適用する方がはるかに効果的です。

ワークロード間の通信を制限することで、意図に関係なく脅威が広がるのを防ぐことができます。そして、検出ツールに脅威を特定する時間を与えます。

たとえば、誰かが家のドアを壊そうとしている場合、まずその人が犯罪者かどうかを尋ねてから、ドアをロックするかどうかを決めることはありません。最初にドアをロックして、後で質問します。

セグメンテーション あらゆるセキュリティアーキテクチャの基盤です。脅威の目的を突き止めるのに時間を無駄にするのではなく、その経路をただちに遮断してください。これにより、侵害が封じ込められ、ネットワークへのさらなる拡散を防ぐことができます。

Kubernetes の侵害を封じ込めるためのイルミオのアプローチ

Illumioは、侵害は最終的にKubernetesを含むあらゆる環境で発生すると想定しています。Illumio プラットフォームが Kubernetes のセキュリティをサポートする方法はいくつかあります。

プロアクティブなマイクロセグメンテーションを構築

実施することにより マイクロセグメンテーション すべてのワークロードにわたって、Illumioは侵入口に侵入を封じ込め、ネットワーク全体に広がるのを防いでいます。つまり、組織は活動に影響を与えずに活発な侵害を乗り切ることができるということです。

サードパーティとの統合による自動検出と封じ込め

Illumioは、次のようなサードパーティの検出プラットフォームとも統合されています ウィズ 脅威の検出と封じ込のプロセスを自動化します。

Wizはリソースの脆弱性やその他の問題をスキャンします。重要なものが見つかると、その情報を Illumio プラットフォームと共有します。これに対応して、イルミオは自動的にセキュリティポリシーを適用してセキュリティギャップを埋め、悪意のある攻撃者がそれらを悪用する前にリスクを軽減します。

つまり、リアルタイムの脅威インテリジェンスに基づいてきめ細かなセグメンテーション制御を実装できるため、攻撃対象領域を減らし、侵害を自動的に封じ込めることができます。

Kubernetes DevSecOps を簡素化

セキュリティオペレーション Kubernetesでは、コンテナ化された開発サイクル中に使用される自動化ワークフローにセキュリティポリシーを含める必要があります。

Illumioを使用すると、すべての環境で使用される同じグローバルワークフロー内でKubernetesの可視性とワークロードの適用が可能になります。

イルミオでKubernetesのセキュリティ侵害を封じ込める

攻撃者は、Kubernetes も含め、あらゆる場所に拡散したいと考えています。そして、攻撃が広がるのを阻止できなければ、あなたの組織が明日のニュースヘッドラインになるかもしれません。

Illumioは、侵害の抑制、リスクの軽減、レジリエンスの構築を支援することで、ニュースから目をそらすことができます。Kubernetes の内外を問わず、ハイブリッドマルチクラウド全体のトラフィックをマッピングし、侵害を封じ込めます。

お問い合わせ 今日は、Illumioがどのようにコンテナ環境における侵害を封じ込めることができるかを学びましょう。