Security Center コンソールの [コンテナー保護設定] タブには、Kubernetes コンテナーの脅威検出やコンテナーエスケープ防止などのコンテナー関連機能が表示されます。これらの機能を有効にすることで、コンテナーのランタイムセキュリティを確保できます。このトピックでは、[コンテナー保護設定] タブで有効にできる機能と、その有効化方法について説明します。
Kubernetes コンテナーの脅威検出
Kubernetes コンテナーの脅威検出機能は、実行中のコンテナークラスターのセキュリティステータスをリアルタイムでチェックし、セキュリティ上の脅威や攻撃をいち早く検出します。Kubernetes コンテナーの脅威検出機能を有効にすると、Security Center は [K8s 異常動作] タイプのアラートをトリガーする脅威を自動的に検出します。Security Center で検出できる脅威の詳細については、「検出できる脅威」をご参照ください。
制限
サブスクリプションサービス: Enterprise または Ultimate エディションで利用できます。現在のエディションがサポートされていない場合は、サブスクリプションインスタンスを購入してください。
説明サーバーを Enterprise または Ultimate 保護エディション用に設定する必要があります。詳細な手順については、「ホストおよびコンテナーのセキュリティクォータの管理」をご参照ください。
従量課金サービス: Host and Container Security サービスを有効にする必要があります。有効になっていない場合は、「従量課金機能を有効にする」に進んでください。
説明サーバーを Host Protection または Host and Container Protection レベルに設定する必要があります。詳細な手順については、「従量課金インスタンス」をご参照ください。
Kubernetes コンテナーの脅威検出を有効にする
Security Center コンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
[設定] タブの [コンテナー保護設定] タブで、[Kubernetes コンテナーの脅威検出] セクションの脅威検出をオンにします。
スイッチをオンにした後、Security Center が Kubernetes クラスターで脅威を検出すると、アラートが生成され、 ページに表示されます。できるだけ早くアラートを表示して処理することをお勧めします。詳細については、「セキュリティアラートの分析と処理」をご参照ください。
説明Cloud Threat Detection and Response (CTDR) 機能が有効になっている場合、セキュリティアラートの処理 へのエントリポイントが変わります。詳細については、「CTDR とは」をご参照ください。
検出できる脅威
タイプ | 項目 |
K8s の異常な動作 | Kubernetes API サーバーで実行された不審な命令 |
ポッドへの不審なディレクトリのマウント | |
Kubernetes サービスアカウント間のラテラルムーブメント | |
悪意のあるイメージを含むポッドの起動 | |
異常なネットワーク接続 | リバースシェルのアウトバウンド接続 |
不審なアウトバウンドネットワーク接続 | |
内部ネットワークでの不審なラテラルムーブメント | |
マルウェア | DDoS トロイの木馬 |
マイニングマシンからの不審な接続 | |
不審なプログラム | |
ポートへのブルートフォース攻撃を開始する不審なツール | |
不審な攻撃プログラム | |
バックドアプログラム | |
悪意のある脆弱性検出ツール | |
悪意のあるプログラム | |
マイニングプログラム | |
トロイの木馬 | |
自己変異型トロイの木馬 | |
ワーム | |
Webshell | WebShell |
不審なプロセス | Apache CouchDB によって実行された不審なコマンド |
FTP アプリケーションによって実行された不審なコマンド | |
Hadoop によって実行された不審なコマンド | |
Java アプリケーションによって実行された不審なコマンド | |
Jenkins によって実行された不審なコマンド | |
Linux での不審なアカウント作成 | |
Linux のスケジュールされたタスクによって実行された不審なコマンド | |
MySQL によって実行された不審なコマンド | |
Oracle によって実行された不審なコマンド | |
PostgreSQL アプリケーションによって実行された不審なコマンド | |
Python アプリケーションによって実行された不審なコマンド | |
リモートマシンを対象とする 1 行のみを含む非対話型 SSH コマンドの不審な実行 | |
不審なプローブコマンドを実行している Webshell | |
ポート 3389 の Windows RDP 設定の変更 | |
Windows でのダウンロードコマンドの不審な実行 | |
Windows での不審なアカウント作成 | |
crontab ジョブへの悪意のあるコードインジェクション | |
Linux での不審なコマンドシーケンス | |
Linux での不審なコマンドの実行 | |
不審なスクリプトの動的インジェクション | |
リバースシェル | |
リバースシェルコマンド | |
HTTP トンネルを使用した潜在的なデータ侵害 | |
不審な SSH トンネリング | |
不審な webshell インジェクション | |
特権コンテナーの不審な起動 | |
不審なポートリッスン | |
悪意のあるコンテナーの起動 | |
セキュリティリスクをもたらす可能性のある Docker でのリモート API デバッグ | |
不審なコマンド | |
コンテナーでの権限昇格またはコンテナーエスケープ | |
悪意のあるコンテナーの起動 |
コンテナーエスケープ防止
コンテナーエスケープ防止機能は、プロセス、ファイル、およびシステムコールにおける高リスクの動作を検出します。この機能は、コンテナーとホストの間に保護バリアを確立し、エスケープを効果的に遮断して、コンテナーランタイムのセキュリティを確保します。この機能は、既知および未知の攻撃モードからも防御し、攻撃者がコンテナーの脆弱性を悪用した後にホストで開始される攻撃を遮断します。
前提条件
悪意のあるホスト行動からの保護 または Web サイトのバックドア攻撃からの保護 のスイッチがオンになっています。詳細については、「プロアクティブ防御」をご参照ください。
コンテナーエスケープ防止を有効にする
Security Center コンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
[設定] タブの [コンテナー保護設定] タブで、[コンテナーエスケープ防止] セクションの脅威検出をオンにします。
次のステップ
[コンテナーエスケープ防止] セクションのスイッチをオンにした後、コンテナーエスケープ防止機能を有効にするには、コンテナーエスケープに対する防御ルールを作成する必要があります。詳細については、「コンテナーエスケープ防止の使用」をご参照ください。
機能が有効になった後、Security Center が Kubernetes コンテナークラスターでセキュリティリスクを検出すると、リスクに対してアラートが生成され、そのアラートは ページに表示されます。できるだけ早くアラートを表示して処理することをお勧めします。詳細については、「セキュリティアラートの分析と処理」をご参照ください。
説明Cloud Threat Detection and Response (CTDR) 機能が有効になっている場合、セキュリティアラートの処理 へのエントリポイントが変わります。詳細については、「CTDR とは」をご参照ください。