fbpx

CNDRを公開:eBPFベースのクラウドネイティブ脅威検知とレスポンス #aqua #コンテナ #セキュリティ #eBPF

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2021年10月13日に公開された「 Unveiling CNDR: eBPF-Based Cloud Native Detection and Response 」の日本語翻訳です。

CNDRを公開:eBPFベースのクラウドネイティブ脅威検知とレスポンス


本日、Aqua は Cloud Native Application Protection Platform(CNAPP)に、業界をリードする新たな検知とレスポンス機能「Cloud Native Detection and Response(CNDR)」を追加したことを発表しました。CNDR は、Aqua のセキュリティ研究チームである Team Nautilus が定義するポリシーをもとに、Aqua のオープンソースプロジェクトである Tracee によって表面化した、低レベルの eBPF イベントからゼロデイ攻撃を特定します。CNDR は、Aqua の Cloud Workload Protection Platform(CWPP)の制御と組み合わせることで、本番環境への影響を最小限に抑えながら、ランタイムで攻撃を検知・レスポンスできる初めてのソリューションです。

CNDRはAquaの広範なCWPPコントロールの一部として、重要な検知を提供

ガートナー社は、CWPPをクラウドワークロードのスキャンとランタイム保護の組み合わせと定義しています。

Aqua の CWPP 機能には、VM、コンテナ、サーバーレスのワークロードを多層的に保護するための堅牢なランタイムコントロールのセットが含まれています。これらのコントロールは、実行前にワークロードを堅牢化し、本番環境で進行中の攻撃へ迅速かつリアルタイムに対応するための多重防衛戦略のレイヤーとして機能します。

ランタイムコントロールの中には、ワークロードの受け入れゲートとして機能し、実行できるものとできないものを定義するコントロールがあります。マイクロセグメンテーションポリシーは、ノード、クラスター、ホスト間の許容できるトラフィックを決定します。Kubernetes Assurance Policy は、ワークロードの実行を許可するために必要な(あるいは許可できない)Kubernetes の構成を指示します。

その他のランタイムコントロールは、進行中の攻撃を阻止するためにリアルタイムで制御します。例えば、Drift Prevention はランタイムにおけるコンテナの不変性を維持し、ランタイムにおけるコンテナの動作の一部として意図されていない動作はすべて防止されます。Drift Prevention は、コンテナの不変性を利用して、何が原因かを知る必要なく、悪い動作を止めることができます。また、リアルタイム制御のもう一つの例としては、vShield があり、修正できない脆弱性を悪用されることを防ぎます。

ここで重要なのは、どのような CWPP ツールであっても、特にコンテナ、Kubernetes、サーバーレスのワークロードを保護するものは、システムを中断することなく、本番での混乱を最小限に抑えながら保護を提供する必要があるということです。

CNDRは検出のための重要なレイヤーを追加する

進行中の攻撃にリアルタイムで対応し、エクスプロイトを緩和し、ランタイムに予防的な堅牢化制御を設定できるチームは、全体的なセキュリティ状態が良好と言えます。検知機能は、リスク管理という大きな目標を達成するために、他の管理機能と一緒にフィードバックループで使用できる重要な情報をもたらします。

NIST の 5 つの指標は、NIST ガイドラインの中で最も抽象度の高いものであり、検知機能は、強化機能と応答機能の間に位置しています。

要約すると、保護機能とは一般的に、潜在的なインシデントの影響を抑制するための強化機能を指します。クラウドネイティブ環境では、これには CWPP ソリューションのシフトレフト機能や、予防的な堅牢化ランタイムポリシーの一部が含まれます。

レスポンス機能とは、能動的緩和のことです。クラウドネイティブセキュリティでは、Drift Prevention のような機能がこれに相当します。この機能では、コンテナが悪い動作をしている理由を正確に把握しなくても、コンテナの動作を制御できます。

検出機能は、セキュリティイベントとその影響を迅速に特定する機能であり、他の環境で重要な理由と同様に、クラウドネイティブセキュリティにおいても重要です。

  • セキュリティチームは孤立して活動することはありません。自分たちの環境で起きていることの詳細を、監査人や他のチーム、そしてお客様に提示できる必要があります。
  • 進行中の攻撃と本番環境への影響をリアルタイムに証明することで、予算を確保することがはるかに容易になります。
  • 検知により、より効果的な防止策や強化策を講じることができます。CNDR や Aqua の他のランタイムコントロールでどのように見えるかは、次の図をご覧ください。

  • セキュリティチームは、攻撃やセキュリティイベントに対して、人やプロセスで対応します。その際には、対応のための詳細な指示が必要となります。

クラウドネイティブ環境での検知とレスポンスはどうあるべきか

検知とレスポンスは、クラウドネイティブ環境の特殊性を考慮する必要があります。

  • 検知には、コンテナ、VM、function など、クラウドネイティブ環境の幅広いワークロードを含める必要があります。
  • クラウドネイティブ環境を標的とした攻撃で使用される戦術を検出する必要があります。
  • これらの環境における既知の攻撃と未知の攻撃の両方を検知できなければなりません。
  • 検知はリアルタイムで行われ、本番環境への影響を最小限に抑える必要があります。
  • 検知されたデータは、応答メカニズムを備えたフィードバックループの一部として実行可能でなければなりません。

クラウドネイティブワークロードをカバーし、ワークロードの中断を最小限に抑えるために必要な技術

CNDR は、ワークロードカバレッジの実現と、中断を最小限にするために、eBPF 技術を使用しています。eBPF は、Linux カーネル上でプログラムを実行するための軽量なオプションです(詳細は、A Deep Dive into eBPF をご参照ください)。eBPF は、従来のカーネルモジュールによる手法と比較して、カーネルがクラッシュするリスクを抑えながら、カーネル上でプログラムを実行する方法を提供します。eBPF は、それ自体でさまざまな目的を達成する手段となります。たとえば、クラウドネイティブ環境のネットワークや監視機能にも、eBPF が全面的に採用されています。

Aqua Tracee は、eBPF をベースにしたオープンソースの脅威検知ツールで、Linux カーネルから 300 以上のシステムコールを、その他の重要なイベントとともに識別できます。CNDR は Tracee をベースに作られており、eBPF を使用することで最小限の混乱でワークロードの可視性を得ることができます。

eBPFイベントから未知のクラウドネイティブな脅威を検出

CNDR は、クラウド環境を標的とした未知の攻撃を検出するために、Aqua のセキュリティ研究チームである Team Nautilus が定義するポリシーを利用しています。これらの知見は、Linux、コンテナ、サーバーレス、Kubernetes のワークロードなどのクラウドネイティブ環境を対象とした攻撃から得られた情報に基づいています。例えば、悪意のあるカーネルのロード、ファイルレスマルウェアの実行、リバースシェルを伴うルートキットの手口などが挙げられます。以下の画像は、ファイルレス実行時のログを示しています。

これに加えて、Aqua の脅威インテリジェンス(DB)には、IP や DNS の評判、マルウェアデータベースが含まれており、CNDR と Aqua のユーザはクラウドネイティブアプリケーションセキュリティのための最も完全な脅威インテリジェンスフィードにアクセスできます。

以下は、既知の攻撃と未知の攻撃の両方の詳細を表示するインシデント画面です。

検知から対応までのフィードバックループは、検知と同じくらい重要

検知してもレスポンスがなければ意味がありませんし、より効果的な予防策の設定もできません。上図では、CNDR によってファイルレスマルウェアの実行が検出されています。下の図は、CNDR によって特定されたコンテナ内でのファイルレスマルウェアの実行をブロックするために、特別に設定できるランタイムポリシーです。このポリシーは、ワークロードを中断することなく、リアルタイムに変更して利用できます。CNDR は、Aqua の他のランタイムコントロールと組み合わせることで、本番環境の混乱を最小限に抑えながら検知とレスポンスの両方を行うことができる、業界で唯一のソリューションです。

まとめ


試しに Kubernetes クラスターで Tracee を稼働して、動作を確認していただくことも可能です。

詳細は「Aqua Security Unveils Industry-First Detection & Response for Zero-Day Attacks in Cloud Native Environments」のプレスリリースをご覧ください。

New call-to-action

新規CTA