8
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

Azure 上のコンテナーと AKS (Azure Kubernetes Service) の守り方 - Azure のコンテナーのセキュリティ機能まとめ(随時追記)

Last updated at Posted at 2020-04-06

*2021年12月に Microsoft Defender for Containers がリリースされましたので、それに合わせて記事を編集しています。Defende for Containers リリースのアップデート情報については、こちらもご参照ください。

本記事について

本記事では、Azure 上でコンテナーや AKS (Azure Kubernetes Service)を利用する際に、活用できる Azure のセキュリティ機能をご紹介していきます。

Azure 上のコンテナー関連サービスについて

Azure では、Virtual Machine (VM) 上でコンテナーを動かすことのほか、マネージドの Kubernetes のサービスである、Azure Kubernetes Service (AKS) やマネージドなプライベートレジストリである、Azure Container Registry (ACR) が提供されています。

また、本記事では対象としませんが、サーバーレスなコンテナー実行環境である、Azure Container Instance もありますし、App Service ではコンテナーを実行環境にすることもできます。

image.png

特に本記事で扱うアーキテクチャについて

本記事では、特に Azure Container Registry (ACR), Azure Kubernetes Service (AKS), と Azure 上の Docker を動かしている仮想マシンに焦点を当てます。

  • 本記事での対象サービスのアーキテクチャサマリ
    image.png

コンテナーのセキュリティについて

コンテナーのセキュリティについては、アメリカ国立標準技術研究所(NIST)が SP 800-190にて、詳細をまとめています。

image.png

本稿では、その中で示されている Major Risks for Core Components of Container Technologies の5つの項目に沿って、Azure のサービスを利用すると具体的にどのような対策が取れるのかをご紹介していきます。

1. Image Risks

Image Risks の項目では、Image Vulnerability や Image Configuration Defects などについて説明されています。

コンテナーイメージのセキュリティ対策で、Azure の機能で利用できるのは Defender for Containers です。Azure Container Registry にプッシュされたイメージは、Defender for Containers を利用すると、自動でその脆弱性スキャンを実行することができます。なお、ここでは Qualys 社のスキャナーが利用されていますが、Defender for Containers の課金で使用することができます。

image.png

自分の持つ ACR 上で脆弱性があるイメージがあるかを確認します。

image.png

そのイメージを選択すると、脆弱性の一覧や、ひとつひとつの脆弱性の詳細な情報を取得することができます。

image.png

image.png

加えて、Defender for Containers では、実行中のコンテナーの脆弱性を評価したり、GitHub Actions でビルドされたイメージの脆弱性を評価することもできます。

2. Registry Risks

この項目では、レジストリのリスクについて説明があり、セキュアでない接続や不十分な認証・認可などがリスクとして挙げられています。

Azure Container Registry は、セキュアに設計されたコンテナーレジストリです。Azure Active Directory を利用した認証ロールベースアクセス制御署名済みのイメージのプッシュ・プルの機能(Premium SKU のみ)などの機能を提供しています。

image.png

3. Orchestrator Risks

オーケストレーターのリスクとしては、制限がされていない特権アクセスや認可されていないアクセス、分離が不十分な内部ネットワークトラフィックなどが挙げられています。

ここでは、特にマネージドな Kubernetes サービスである、AKS に特化してご紹介したいと思います。オーケストレーターのリスクに対しては、Defender for Containers はプロアクティブな対応である AKS の構成の問題の特定と、脅威発生時の検知機能を提供しています。Defender for Cloud の CSPM (Cloud Security Posture Management) 機能の一部という位置づけです。

image.png

構成の問題の特定

こちらでは、推奨事項として、特に RBAC (ロールベースアクセス制御) の問題の特定やアプリケーションが特権を持たないようなポッドのセキュリティポリシーの設定を提示します。

現在、コンテナーについては22種類の推奨事項が提供されています。

image.png

特にロールベースアクセス制御は、アプリケーションのワークロードと顧客データを保護するのに役立ち、AKS では、Azure Active Directory を利用できます。

脅威の検知

AKS の API サーバーからの監査ログから、Kubernetes 上での脅威を検知することもできます。具体的なアラートは、こちらで公開されています。

検知されるアラートには、たとえば Podの異常な展開や Core DNS の異常な書き換え、Dashboardやサービスの公開などが含まれます。

image.png

image.png

image.png

特権ロールへの新しいバインドや新しい高い特権ロールなども検知されます。

image.png

4. Container Risk

コンテナーそのもののリスクとしては、制限のないネットワークアクセスやランタイムの問題などが挙げられています。

Microsoft Defender for Cloud では、Docker を動かしているホスト (Defender for Servers) と AKS クラスター(Defender for Containers)のそれぞれに対して、構成の特定や脅威検知を提供しています。

脅威検知

Docker を動かしている Linux 仮想マシン

Docker を動かしているホストに対して、エージェントからのセキュリティイベント情報を分析し、実際に起こっている脅威を検知する機能を提供しています。

これには、特権コンテナーやSSHサーバーの実行、Docker デーモンの公開の検出が含まれます。

image.png

image.png

image.png

AKS クラスター

また、AKS のクラスターに対しては、Kubernetes の監査ログと各ノードに配布される Daemon Setからセキュリティ情報を収集し AKS環境での脅威を検知します。このアラートには、特権コンテナーの検出やデジタル通貨マイニング用のコンテナーの検出に加え、不正なコマンドの実行や悪質なファイルのダウンロード、Kubernetes Dashboard の公開などがあります。

image.png

Defender for Containers が検知するアラートは、APIサーバーとノードからの検知の合計で2021年12月現在78種類用意されています。

image.png

構成の監査と保護

Docker を動かしている Linux 仮想マシン

VM の上で Docker を実行している場合には、CIS Docker Benchmark との比較機能を利用できます(Defender for Servers)。

Defender for Servers が利用する Log Analytics エージェントは、VM の中で Docker が動いているかを検知し、その構成について、CIS Docker Benchmark と比較して結果が "Failed" だったものを表示してくれます。

image.png

image.png

AKS クラスター

一方 AKS クラスターに対しては、Defender for Containers で、Azure Policy for Kubernetes 連携を利用し、クラスター上での不正な操作のブロックや監査を行うことができます。(上記ダイアグラムの Gatekeeper, Azure Policy を利用。)

こちらでは、17種類のプリセットされたルールを使って監査やブロックを有効化します。

image.png

5. Host OS Risks

ホストOSのリスクとしては、広いアタックサーフェスやOSのコンポーネントの脆弱性、ファイルシステムのタンパリングなどが挙げられています。

Docker を動かしている Linux 仮想マシン

特に Azure の VM 上でコンテナーを実行している場合、ホスト OS のセキュリティには、Defender for Cloud の Linux 向けの機能を活用できます。

たとえば、統合された脆弱性スキャナーで Qualys のエージェントを利用して Linux の脆弱性をチェックしたり、FIM (File Integrity Monitoring) で特定のファイルの改ざんを検知したりすることができます。

AKS クラスター

一方、AKS の場合は、既定でセキュリティが最適化されたホスト OS を提供しています。

補足

(補足)AKS のベストプラクティス

本記事では主に、Defender for Containers でできることをメインにご紹介しました。一方で、より広範囲にわたる、AKS のベストプラクティスについては、こちらのドキュメントにて、詳細にまとめられています。

(補足) Microsoft Defender for Cloud の 価格

Defender for Cloud はリソースのタイプによって異なる従量課金モデルになっています。詳細は、こちらをご参照ください。

最後に

*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。

参考資料

Detecting threats targeting containers with Azure Security Center
:実際に起こっているDocker環境での脅威と、Azure Security Center がそれをどう検知するかを解説した記事です。

8
7
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
8
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?