CI/CD 統合とシフトレフト アプローチは効果的な戦略です。ただし、本番環境でセキュリティ状態を継続的に監視することも必要です。
クラスタ スキャンは、CI/CD で開発されたアプリケーションをサードパーティのコンポーネントおよびインフラストラクチャ レベルのコンポーネントにスキャンする場合と同じレベルの可視性を提供します。実行中のワークロードで使用されるコンテナ イメージが最新で、脆弱性を検出できることを確認することが重要です。
ランタイム クラスタ スキャンを使用すると、実行中のすべてのイメージの構成ミスと脆弱性をスキャンして、全体的なリスクをより適切に評価できます。たとえば、適用された構成とマニフェストがポリシーと一致していることを確認し、脆弱な構成ミスを特定し、クラスタ自体にクリア テキスト シークレットや悪意のあるコンテナが実行されていないことを確認します。この機能により、DevOps チームとセキュリティ チームは実行状態のセキュリティ レベルを理解し、ワークロードのセキュリティを強化するためにパイプラインに必要な変更を加えることができます。
コンテナ イメージには、いくつかのセキュリティ上の課題があります。イメージは通常、他のイメージを階層化することで構築されますが、そのイメージには脆弱性が含まれている可能性があり、その脆弱性が本番システムに入り込んでしまうことがあります。欠陥やマルウェアもコンテナ イメージに影響を与える可能性があります。コンテナの実績が不明な場合、これらのリスクは増加します。
次の機能を持つコンテナ イメージ レジストリは、これらのリスクを軽減できます。
- 共通脆弱性識別子 (CVE) データベースにある脆弱性のイメージをスキャンします。
- 公証を使用して、イメージに既知および信頼済みとして署名します。
- レジストリに接続するためのセキュアで暗号化されたチャネルを設定します。
- ユーザーを認証し、Active Directory などの標準ディレクトリ サービスで管理されている既存のエンタープライズ アカウントを使用してアクセスを制御します。
- 最小権限と職務の分離の原則を使用して、レジストリへのアクセスを厳密に制御します。
- 脆弱性に対する組織のしきい値を満たすイメージのみをユーザーが使用できるようにするポリシーを作成します。
脆弱性スキャン
ほとんどのアプリケーションは、サードパーティのイメージ レジストリをソースとするコンポーネントを使用します。これを認識した攻撃者は、多くの場合、これらのレジストリに悪意のあるコードを挿入します。コンテナは、多くの場合、DockerHub などのパブリック イメージ リポジトリから Ubuntu や CentOS などのオペレーティング システムの基本イメージを使用します。オペレーティング システムのパッケージとその上のアプリケーションには、脆弱性が含まれている可能性があります。
脆弱性スキャンは、既知の脆弱性を検出してセキュリティ侵害のリスクを軽減するのに役立ちます。イメージ上のイメージの脆弱性またはマルウェアを特定し、それらを本番環境に移行しないようにすることで、コンテナ化されたアプリケーションの攻撃対象を減らすことができます。