米国家安全保障局(NSA)は米国時間8月3日、コンテナー管理基盤「Kubernetes」を配備している組織を支援する目的で、同機関初となるKubernetes強化ガイダンスを公開した。
このガイダンスは、リスクの最小化に向け、ユーザーに対して重要となる脅威や設定の啓発を目的としている。米国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)も執筆に携わっている。
両機関は共同発表の中で、「Kubernetesが標的にされるよくある理由として、データ窃盗と、演算能力の窃盗、DoS攻撃のための武器という3つが挙げられる」としている。
また、「データ窃盗は以前から一番の動機となっている。しかしサイバー犯罪者らは、暗号資産(仮想通貨)のマイニングなどに用いる演算能力をネットワークの基盤インフラから得るために、Kubernetesを用いる場合がある」と述べている。
サイバーセキュリティ企業Intezerの研究者らも最近のレポートで、Kubernetes配備時の誤設定を悪用して、企業のハードウェアに暗号資産(仮想通貨)のマイニングプログラムをインストールするという攻撃ベクターの存在を警告している。
今回発表された強化ガイダンスの柱に特殊な内容は含まれていないが、クラウドに配備されることもしばしばある複雑な環境下で標準的なセキュリティ対策を適用する上での注意点が詳しく解説されている。大まかに述べるとこのガイダンスには、コンテナーやポッドにおける脆弱性/誤設定のスキャンや、コンテナーやポッドにおける最小権限の原則のほか、ネットワーク分離やファイアウォール、強力な認証、ログ監査の採用といったものが含まれている。
もちろんながら、リスクを最小化するためのパッチやアップデート、アップグレードの適用といった、標準的なサイバー衛生も重要となる。脆弱性をスキャンし、パッチの適用を確認することも推奨されている。
このガイダンスはKubernetesクラスターやコントロールプレーン、(クラスター用にコンテナー化されたアプリの実行のための)ワーカーノードとともに、それらノード上でホストされるコンテナー用ポッドについて網羅している。
両機関は、サプライチェーンのリスクについても特に注意を促している。こういったリスクには、配備前のあらゆるタイミングで攻撃される可能性のあるソフトウェアやハードウェアの依存関係も含まれている。
両機関は「Kubernetes上で実行されているアプリケーションや、サードパーティー製品との依存関係がからむセキュリティでは、開発者に対する信頼や、開発インフラの防御が要となる。サードパーティーによる悪意あるコンテナーやアプリケーションによって、サイバー犯罪者らに対してクラスターへの足掛かりがもたらされかねない」と記している。
また、適切なアクセス制御が施されていないコントロールプレーンコンポーネントや、ロックダウンされたコントロールプレーンの外側に置かれたワーカーノードがリモート攻撃の標的になっているとも警告している。
内部の脅威には、高い権限を有した管理者や、システムやハイパーバイザーに対する物理アクセスも含まれている。
ポッドは、攻撃者がコンテナーに侵入した後に最初に活動する実行環境であるため、攻撃に対する防御を特に強化しておく必要がある。
またこのガイダンスでは、多くのコンテナーサービスがデフォルトでは特権を有したルートユーザーとして実行されている点から、ルートでの実行を避ける上で、非ルートコンテナーや、ルートレスコンテナーエンジンの実行が推奨されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
