falco 〜コンテナへの侵入・改ざん検知〜

0

    こんにちは。OSS研究室です!

     

    今回は、コンテナの侵入・改ざんを検知するオープンソースソフトウェア

    Falco について紹介します。

     

     

    Falco コンテナのランタイムスキャナーとして動作するセキュリティソフトです。

     

    Falco では、事前にセキュリティチェックのルールを作成しておくことで

    コンテナ・ポッドに対して以下のようなランタイムセキュリティチェックを実施することができます。

     

    ■ファイルインジェクションの検知
    コンテナでシェルのプロセスが動作したことを検知してアラートを送信したり、
    コンテナ内の/bin等のディレクトリが改ざんされたことを検知してアラートを送信することができます。

     

    ■コンテナ間、コンテナ外への不正な通信の検知
    コンテナセキュリティの課題の一つに、マルウェアの侵入があります。
    Falco ではコンテナから外部への特定ポートへの通信をフィルタすることで

    通信が発生したした場合にアラートを送信することできます。

     

     

     

    Falco にはデフォルトで侵入・改ざん検知のルールがいくつか含まれています。

    もちろん、ユーザ定義のルールを後から追加することも可能です。

    さらにFalco では、単純な追加だけでなく、ルールを上書きしたり、条件を追加・きめ細かい変更など

    柔軟にルールを作成できるため、様々なニーズに合わせてシステムの監査を行うことができます。

     

    このようにFalco は、事前に作成したルールに基づいてコンテナへの侵入・改ざんを検知してアラートを送信します。

     

    送信するアラートも以下のような方法で出力することができます。

     - stdout

     - file

     - syslog

     - プログラムの起動

     - HTTP[s]エンドポイント

     

     

    Falco は、様々なシステムとの連携を意識して開発されているため、

    ルールも柔軟に作成できアラートの種類も多彩で、アラートの形式をJsonに変更することも可能です。

     

    これらの特徴を利用し、カスタマイズすることで

    侵入・改ざん検知を検知した際に、他のシステムと連携させ

    危険な状態にあるコンテナを停止するなどのこともできるようになります。

     

    カスタマイズ性が高い反面、ルールの作成や更新はユーザのスキルに委ねられている部分が多く

    新しいルールを作るためには、フィールドの理解と試行錯誤が必要となります。

     

    またFalco は、あくまでコンテナやポッドの動作に応じて、アラートを送信するソフトウェアのため

    コンテナやコンテナイメージの脆弱性の診断、ハッシュベースのウィルスの検知はできません

     

     

    デージーネットでは、Kubernetes環境構築サービスの新オプションとして、

    ランタイムスキャンだけでなく、 コンテナホストやコンテナイメージの脆弱性スキャンも含めた

    コンテナの脆弱性スキャンを行う

    『コンテナセキュリティ強化オプション』をリリースしました。

     

     

    また、デージーネットのウェブサイトでは、

    Falco調査報告書」も公開しております。

    ぜひダウンロードして、お読みください。

     


    コメント
    コメントする








       

    calendar

    S M T W T F S
     123456
    78910111213
    14151617181920
    21222324252627
    282930    
    << June 2020 >>

    selected entries

    categories

    archives

    recent comment

    links

    profile

    search this site.

    others

    mobile

    qrcode

    powered

    無料ブログ作成サービス JUGEM