アプリケーションプラットフォームの現代化により、クラウドセキュリティチームは新しいクラウドアーキテクチャを採用する際にインフラストラクチャチームを新しい方法でサポートするようになってきています。注目を集めている方法の一つは、サーバーレスコンテナ環境の使用です。これはしばしばサーバーレスコンテナまたはコンテナアズアサービス(CaaS)と呼ばれています。
開発者が基礎となるコンピュートインフラストラクチャを管理することなくコンテナ化されたワークロードを実行できるAWS Fargateは、この例です。
Sysdigは、AWS Fargate環境にランタイムマルウェア検出機能を拡張し、ワークロードが完全に管理されたコンテナサービスで実行されている間、SOCおよびCSIRTチームがランタイムマルウェア検出カバレッジを維持できるようにしました。
この運用モデルにより、インフラストラクチャ管理が簡素化され、スケーラビリティが向上し、開発チームはサーバーの保守ではなくアプリケーションの構築とデプロイに集中できるようになります。プラットフォームチームも、デプロイサイクルの高速化と運用オーバーヘッドの削減から利益を得られます。
しかし、SOCおよびCSIRTチームにとって、このアーキテクチャの変化は新たな運用上の考慮をもたらします。組織がワークロードをAWS Fargateに移行する際、アナリストはランタイムセキュリティの可視性とマルウェア検出カバレッジが、他のコンテナ化環境に適用されているものと一貫性を保つようにする必要があります。
AWS Fargateがなぜランタイムセキュリティを必要とするのか
AWS Fargateのような完全に管理されたコンテナサービスは、その異なる運用モデルのため、マルウェアのリスクを軽減できると考えるのは簡単です。管理する基礎となるホストがなく、従来のホストベースのエージェント展開モデルがなく、自己管理されたコンテナ環境よりもランタイム活動への直接的な可視性が低いです。
しかし、マルウェアはセキュリティチームが対処する必要があるリスクのままです。
AWS Fargateで実行されているコンテナは、依然としてアプリケーションコードを実行し、クラウドサービスにアクセスし、機密データと相互作用します。他のコンテナ化環境と同様に、攻撃者がアプリケーションを危険にさらす場合、悪意のあるプロセスを導入したり、クリプトマイナーをデプロイしたり、実行中のタスク内で危険にさらされたコンテナイメージを実行することができます。
AWS Fargateのランタイム脅威検出を担当する防御者にとって、課題はインフラストラクチャ管理の責任がプラットフォームによって処理されている場合でもワークロードへの可視性を維持することになります。
サーバーレス環境のランタイム可視性の課題
従来のコンテナセキュリティ戦略は、通常、ホストレベルのインストルメンテーション、インフラストラクチャ監視、およびコンテナイメージの静的スキャンに依存しています。これらのアプローチは、チームがKubernetesノードまたはコンテナインフラストラクチャを実行している仮想マシンを完全に制御している場合に効果的です。
AWS Fargateは、コンテナワークロードのデプロイ方法と管理方法が異なる運用モデルを導入しています。クラウドセキュリティチームは、ホストレベルのエージェントをデプロイしたり、自己管理環境で利用可能なのと同じインフラストラクチャレベルのアクセスに依存することはできません。これにより、サーバーレスコンテナの採用により、マルウェアなどのランタイム脅威への可視性が低下する可能性があることが懸念される可能性があります。
同時に、セキュリティチームが監視する脅威のタイプはコンテナ環境全体で一貫しています。マルウェアは、危険にさらされた状態、脆弱性、操作されたコンテナイメージ、または悪用されたアプリケーションサービスを通じてコンテナ環境に導入される可能性があります。
攻撃者は、コンテナワークロード内に悪意のあるバイナリを配置したり、不正なプロセスを実行したり、クリプトマイニングソフトウェアを実行したりすることができます。ランタイム検出機能により、セキュリティチームはこれらの活動を調査し、コンプライアンス要件をサポートできます。
AWS Fargateへのランタイムマルウェア検出の拡張
サーバーレスコンテナアーキテクチャを採用している組織をサポートするために、SysdigはAWS Fargateのランタイムマルウェア検出サポートを導入しています。この機能により、セキュリティチームはマルウェア検出機能をサーバーレス環境に拡張できます。
このリリースにより、AWS Fargateでコンテナを実行している組織は、同じ調査および対応ワークフローを継続しながらマルウェア検出カバレッジを維持できます。
この機能は、コンテナ化されたホストおよびクラウド環境で信頼されているSysdigマルウェア検出機能に基づいています。
上記のシナリオでは、アナリストはマルウェアハッシュ検出を通じてトリガーされたアラートを表示します。このシステムは、セキュリティプログラムの検出効果をテストおよび検証するために使用される業界標準ファイルであるEICARアンチウイルステストファイルを識別します。この特定のインスタンスは検出を検証するための学術的演習としてEICARファイルを使用しますが、基盤となるテクノロジーは実世界の脅威を中和するために使用されるのと同じです。問題の脅威が既知のランサムウェアバリアントであろうと洗練されたクリプトマイナーであろうと、Sysdigのマルウェアハッシュ検出は、署名が既知の場合、脅威が検出されることを保証します。
ランタイム実行中のマルウェア検出
予防的なコンテナセキュリティ制御は、多くの場合、ビルドプロセス中にコンテナイメージをスキャンすることに依存しています。イメージスキャンは重要な予防制御のままですが、ランタイムで脅威を検出することには及びません。
Sysdigマルウェア検出は、ワークロード実行中の悪意のある活動を識別することに焦点を当てています。
悪意のあるバイナリがコンテナファイルシステムに書き込まれるとき、または疑わしいプロセスが実行しようとするときにマルウェアを検出できます。これにより、アナリストはランタイムの動作に基づいて脅威を検出できます。
ランタイム検出は、ソフトウェアライフサイクルの初期段階で予防制御をバイパスする可能性のあるマルウェアへの可視性を提供します。悪意のあるバイナリがデプロイ後にコンテナに導入される場合、ランタイム検出はまだ活動を識別できます。
SOCおよびCSIRTチームの場合、これはアクティブなランタイムの動作に基づいてアラートが生成されることを意味します。アナリストは疑わしい実行試行を調査し、活動の範囲を決定し、脅威が他のサービスに拡散する前に対応できます。
KubernetesとAWS Fargate全体の一貫したセキュリティ
ほとんどの最新の組織は複数のコンピュートプラットフォームを同時に操作しています。典型的な環境には、Kubernetesクラスター、自己管理されたコンテナ環境、従来の仮想マシン、およびAWS Fargateのようなサーバーレスコンテナサービスが含まれる場合があります。セキュリティアナリストはこれらすべての環境全体で一貫した保護が必要です。
Sysdigはマルウェア検出とランタイム保護をFargate環境に拡張し、完全に管理されたコンテナランタイムでも悪意のある実行試行を検出できるようにしています。これにより、Kubernetesクラスター、自己管理コンテナ、およびAWS Fargate全体のランタイム保護を維持するのに役立ちます。
Sysdigを使用すると、SOCチームはワークロードが実行されている場所に関係なく、よく知られたワークフローを使用して脅威を調査できます。
コンプライアンスカバレッジを失わずにクラウドの現代化をサポート
CISOおよびセキュリティリーダーにとって、インフラストラクチャの現代化には、運用効率とセキュリティおよびコンプライアンス要件のバランスを取ることが多くあります。
プラットフォームチームはAWS Fargateを採用して開発を加速し、インフラストラクチャ管理のオーバーヘッドを削減します。セキュリティリーダーは、これらのアーキテクチャの決定がセキュリティの可視性を低下させたり、コンプライアンスギャップを導入したりしないようにする必要があります。
AWS Fargate環境にランタイムマルウェア検出を拡張することにより、Sysdigは組織がランタイムセキュリティ制御を維持しながらプラットフォームの現代化をサポートするのに役立ちます。アナリストはインフラストラクチャチームがサーバーレスコンテナプラットフォームを採用している間、マルウェアと疑わしい実行試行を検出し続けることができます。
このアライメントにより、組織はランタイムセキュリティの可視性と検出カバレッジを犠牲にすることなく、アプリケーションプラットフォームの現代化ができます。
クラウドアーキテクチャとともに進化するランタイムセキュリティ
AWS Fargateは、クラウドアプリケーション展開における重要な進化を表します。インフラストラクチャ管理の責任を削除することにより、組織はコンテナ化されたアプリケーションをより効率的にデプロイおよびスケーリングできます。
ただし、インフラストラクチャ管理を削除しても、ランタイム脅威検出の必要性は削除されません。セキュリティの可視性はクラウドアーキテクチャとともに進化する必要があります。
AWS Fargate環境にランタイムマルウェア検出を拡張することにより、SysdigはSOCおよびCSIRTチームが最新のクラウド環境全体で検出カバレッジを維持できるようにしています。クラウドセキュリティチームは、Kubernetesクラスター、従来のコンテナプラットフォーム、およびAWS Fargateワークロード全体で悪意のある実行試行を検出し、ランタイム活動を調査し、脅威に対応する能力を保持しています。
Sysdigを使用すると、組織は強力なランタイムマルウェア検出とクラウドセキュリティの可視性を維持しながら、最新のサーバーレスコンテナアーキテクチャを採用できます。
翻訳元: https://www.sysdig.com/blog/runtime-malware-detection-for-aws-fargate
