1. はじめに

記事は2部構成になっています。

Azure Kubernetes ServiceでClamAVを使ってみた(前編:ウィルススキャン)←本記事
Azure Kubernetes ServiceでClamAVを使ってみた(後編:リアルタイム検知)

Azure Kubernetes Serviceにおけるワーカーノードのウィルス対策を検討しました。ClamAVの適用について手順を紹介します。

なお、本記事ではClamAVやAzure Kubernetes Service(以降「AKS」と略します)の基本的な使い方についての説明は割愛します。

2. 全体構成

ワーカーノードにアンチウィルスソフトを入れればよいのでは？と思いましたが、Microsoft社のドキュメントによるとそれはNGとの記載がありました。

ノード VM は従来の VM と同じではないので、一般的な VM ツールを使用することはできません。

すべてのノードのポッドで実行される DaemonSets に、選択したマルウェア対策ソフトウェアをデプロイする必要があります。

出典：https://docs.microsoft.com/ja-jp/azure/architecture/reference-architectures/containers/aks-pci/aks-pci-malware#aks-feature-support

ということで、アンチウィルスソフトをワーカーノードではなく、DaemonSetに入れるようにします。

AKSにおけるコンテナファイルシステム

ワーカーノードからノード上で動いているコンテナのファイルシステムも見えています。AKSのワーカーノードの場合、下記フォルダでコンテナのファイルシステムが確認できます。

/run/containerd/io.containerd.runtime.v1.linux/k8s.io/<コンテナーID>/rootfs

左端の/はワーカーノードのルート、右端の/rootfsはコンテナのルートを示します。

上記のコンテナーIDは次のコマンドで確認できます。

$ kubectl get pod (pod名) -oyaml

出力結果

～～(略)～～
  containerStatuses:
  - containerID: containerd://d26c7d1fxxxxxxxxf7c6ae31yyyyyyyy7d56758fzzzzzzzzc6868a7c38d9caef
    image: <registry-name>.azurecr.io/<repository>:<tag>
    imageID: <registry-name>.azurecr.io/<repository>@sha256:1a662598e09bxxxxxxxx558bee7cyyyyyyyybfcad5cczzzzzzzz270139ad8b86
    lastState: {}
    name: apserver
    ready: true
    restartCount: 0
    started: true
    state:
      running:
        startedAt: "2022-02-28T09:39:01Z"
～～(略)～～

上記出力結果では、コンテナーIDは、containerIDの「containerd://」に続く64桁のIDが該当します。

構成図

ClamAVコンテナからワーカーノードのルートをマウントして、Tomcatコンテナのファイルシステムがスキャンできるようにします。

3. ClamAVコンテナの準備

今回は、公式のClamAVコンテナを使用しました。

$ docker image pull clamav/clamav:stable

このイメージをAzure Container Registryにプッシュします。

$ docker image tag clamav/clamav:stable <registry-name>.azurecr.io/<repository>:<tag>
$ docker image push <registry-name>.azurecr.io/<repository>:<tag>

ClamAVコンテナのデプロイ

それでは、ClamAVコンテナをDaemonSetとしてデプロイします。今回はGoogle Cloud Platform用のサンプルのマニフェストファイルをベースにAKS向けにカスタマイズして使用しました。

https://github.com/GoogleCloudPlatform/community/blob/master/tutorials/gcp-cos-clamav/clamav-daemonset.yaml

daemonset-sample.yaml(デーモンセット定義サンプル)

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: clamav
  labels:
    k8s-app: clamav-host-scanner
spec:
  selector:
    matchLabels:
      name: clamav
  template:
    metadata:
      labels:
        name: clamav
    spec:
      tolerations:
      - key: node-role.kubernetes.io/master
        effect: NoSchedule
      nodeSelector:
        "beta.kubernetes.io/os": linux
      containers:
      - name: clamav-scanner
        image: <registry-name>.azurecr.io/<repository>:<tag>
        volumeMounts:
        - name: host-fs
          mountPath: /host-fs
        - name: logs
          mountPath: /logs
      volumes:
      - name: host-fs
        hostPath:
          path: /
      - name: logs
        hostPath:
          path: /var/log/clamav

デーモンセット定義サンプルのマニフェストファイルを使用してAKSにClamAVコンテナをデプロイします。

$ kubectl apply -f daemonset-sample.yaml

4. ClamAVでウィルススキャン

アプリケーション(Tomcat)のコンテナに入り、/homeディレクトリに移動します。

$ kubectl exec -it ap-server-xxxxxxxxxx-xxxxx /bin/bash
# cd /home

テスト用のウィルスファイルをダウンロードして保存します。今回は4つのウィルスファイルを使ってみます。

$ wget https://www.eicar.org/download/eicar.com

$ wget https://www.eicar.org/download/eicar.com.txt

$ wget https://www.eicar.org/download/eicar_com.zip

$ wget https://www.eicar.org/download/eicarcom2.zip

テスト用ウィルスファイルが保存されていることを確認します。

$ ls
eicar.com  eicar.com.txt  eicar_com.zip  eicarcom2.zip

ClamAVのコンテナでウィルススキャンを実行します。

$ kubectl exec -it clamav-xxxxx /bin/bash
# clamscan --infected --remove --recursive --log=/logs/clamav_test.log \
        --exclude-dir=^/sys --exclude-dir=^/proc --exclude-dir=^/dev \
        --exclude-dir=^/host-fs/sys --exclude-dir=^/host-fs/proc \
        --exclude-dir=^/host-fs/dev \
        --exclude-dir=^/host-fs/run/.*/rootfs/sys \
        --exclude-dir=^/host-fs/run/.*/rootfs/proc \
        --exclude-dir=^/host-fs/run/.*/rootfs/dev \
        --max-filesize=4095M --max-scansize=4095M /

次の通り、4つのファイルが削除されたことが確認できました。
「検知した」というメッセージWin.Test.EICAR_HDB-1 FOUNDと、「削除した」というメッセージRemoved.が出力されています。