コンテナでのファイル改ざん防止 - Security Center - Alibaba Cloud ドキュメントセンター

コンテナファイル保護は、ご利用のコンテナ内のディレクトリとファイルをリアルタイムでモニターします。改ざんが検出されると、Security Center はアラートを生成するか、プロセスをブロックします。これにより、攻撃者がコンテナの脆弱性を介して悪意のあるコードや隠しリンクを挿入するのを防ぎます。

制限事項

エディション要件：Security Center の Ultimate エディションのみがこの機能をサポートしています。詳細については、「Security Center の購入」および「Security Center のアップグレードとダウングレード」をご参照ください。
クラスター接続性：Security Center に接続されているクラスターのみが保護されます。自己管理型 Kubernetes クラスターを保護するには、まず Security Center に接続してください。詳細については、「自己管理型 Kubernetes クラスターを Security Center に接続」をご参照ください。
OS およびカーネルのサポート：クラスターをホストするサーバーは、サポートされているオペレーティングシステムとカーネルバージョンを実行している必要があります。完全な互換性リストについては、「サポートされているオペレーティングシステムとカーネルバージョン」をご参照ください。
クラスターあたりの保護対象ディレクトリ数：クラスター内で Pod ラベルが追加される保護対象ディレクトリの数は、10 (有効なルールのみをカウント) を超えることはできません。この制限を超えると、クラスター全体の機能が無効になります。
クラスターあたりのユニークな Pod ラベル：クラスター内のすべての有効なルールは、最大 10 個のユニークな Pod ラベル (重複排除後) を参照できます。この制限を超えると、クラスター全体の機能が無効になります。

例：Cluster01 には 12 個のルール (Rule01～Rule12) があります。Rule01 は Label01 を参照し、Rule02 は Label02 を参照し、Rule10 (Label10) まで同様です。Rule11 と Rule12 は両方とも Label10 を参照します。重複排除後、ユニークなラベルは 10 個になるため、機能は正常に動作します。Label10 と Label11 を参照する Rule13 を追加すると、重複排除後のカウントは 11 になり、Cluster01 では機能が利用できなくなります。

クラスター内にそのラベルを持つ Pod がない場合でも、Pod ラベルはルールで参照できます。

前提条件

開始する前に、以下を確認してください。

ご利用のクラスターをホストするすべてのサーバーに Security Center エージェントがインストールされていること。詳細については、「Security Center エージェントのインストール」をご参照ください。

ルールの作成

Security Center コンソールにログインします。上部のナビゲーションバーで、保護するアセットのリージョンとして中国または中国本土以外を選択します。Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、[保護設定] > [コンテナ保護] > [コンテナファイル保護] を選択します。
「Container File Protection」ページで、[Create Rule] をクリックします。

[ルールの作成] パネルで、次のパラメーターを設定してから [次へ] をクリックします。 [ホワイトリスト] および [除外ファイルパス] では、各エントリを 50 文字以下にする必要があります。複数のエントリはセミコロン (;) で区切ります。保護対象のディレクトリごとに、最大 10 個のホワイトリストプロセスと 10 個の除外ファイルパスを指定できます。 パス照合の仕組み ルールでは、ワイルドカードベースのプレフィックス対応照合が使用されます。次の例では、/dir1/test を使用して動作を説明します。 [ホワイトリスト] と [除外ファイルパス] を設定する際は、最小権限の原則に従ってください。通常のコンテナワークロードに必要なもののみを指定し、広範なワイルドカードパターンは避けてください。

保護対象ファイルディレクトリ /dir1/test (完全一致)：/dir1/test ディレクトリ自体のみが保護されます。削除または名前変更された場合、アラートが生成されるか、プロセスがブロックされます。サブディレクトリと内部のファイルは対象外です。
ホワイトリスト /dir1/test (完全一致)：実行可能ファイル /dir1/test によって生成されたプロセスは、アラートをトリガーせずに保護対象ディレクトリを変更できます。/dir1/test/1.html によって生成されたプロセスは、引き続きルールの対象となります。
保護対象ファイルディレクトリ /dir1/* と 除外ファイルパス /dir1/test：/dir1/test ディレクトリは除外されます。/dir1/test の削除または名前変更はルールをトリガーしませんが、/dir1/test/1.html 内部のコンテンツを変更すると、引き続きトリガーされます。

まず[アラート]を使用して誤検知が生成されないことを確認してから、[ブロック]に切り替えます。ブロックされたプロセスが通常のワークロードに必要な場合は、[ホワイトリスト]に追加します。

パラメーター	説明
[ルール名]	ルールの名前を入力します。名前は 6～50 文字で、使用できる文字は英字、数字、アンダースコア (`_`)、ハイフン (`-`) のみです。先頭は英字にする必要があります。
[保護対象ファイルディレクトリ]	保護するディレクトリを入力します。各エントリは `/` で始まり、長さは 500 文字以内にする必要があります。[操作] 列の [追加] をクリックして、ルールごとに最大 10 個のディレクトリを追加します。
[ホワイトリスト]	保護対象ディレクトリの変更を許可するプロセス、または変更を許可するディレクトリを入力します。ホワイトリストに登録されたプロセスがディレクトリを変更した場合、アラートは生成されず、プロセスはブロックされません。
[除外ファイルパス]	保護対象ディレクトリ内で保護から除外するサブディレクトリまたはファイルを入力します。除外されたパスへの変更は、アラートの生成やブロックをトリガーしません。
[アクション]	改ざんが検出された場合にセキュリティセンターが実行するアクションを選択します： [アラート] (アラートのみを生成し、プロセスはブロックされません) または [ブロック] (アラートを生成し、改ざんプロセスをブロックします)。

パターン	マッチするもの	マッチしないもの
`/dir1/test` (完全一致)	`/dir1/test` のみ	`/dir1/test/1.html`、`/dir1/test/dir1/2.html`
`/dir1/test*` （ワイルドカード）	`/dir1/test`、`/dir1/test/1.html`、`/dir1/test1/1.html`	`/dir1/tes`
`/dir1/test/*.html`	`/dir1/test/index.html`、`/test/dir1/index.html`	`/dir1/test/file.css`

クラスターリストで、[クラスター名] 列のクラスターを選択します。[Pod タグ] 列で Pod ラベルを選択し、[OK] をクリックします。app で始まる Pod ラベルを使用します。Kubernetes では、ラベルは Pod、デプロイメント、サービスなどのリソースを整理するために使用されるキーと値のペアです。app がプレフィックスとして付いたラベルは、リソースをアプリケーションごとにグループ化するため、範囲の管理がより予測しやすくなります。詳細については、「推奨ラベル」をご参照ください。ドロップダウンにラベルが表示されない場合は、ラベルを直接入力します。複数のクラスターまたは複数の Pod ラベルにルールを適用するには、[操作] 列の [追加] をクリックします。

ルールの管理

[コンテナファイル保護] ページでは、既存のルールに対して以下の操作を実行できます。

ルールの有効化または無効化

ルールを見つけ、[有効化] 列のスイッチを切り替えます。

ルールの編集

ルールを見つけ、[アクション] 列の [編集] をクリックして、名前、構成、または範囲を変更します。

ルールの削除

重要

削除されたルールは復元できません。続行する前に、ルールが不要であることを確認してください。

ルールを探し、[操作] 列の [削除] をクリックします。確認ダイアログで [OK] をクリックします。

アラート結果の表示

ルールを作成して有効にした後、[検知と対応] > [アラート] に移動してタブをクリックし、[アラートタイプ] を [コンテナアクティブ防御] に設定します。コンテナファイル保護によって生成されたアラートは、すべて File Defense で始まります。

アラートの状態は、トリガーするルールで設定されたアクションによって異なります。

アラートアクション：アラートの状態は [コンテナ] です。これらのアラートに迅速に対処してください。詳細については、「セキュリティアラートの表示と処理」をご参照ください。

ブロックアクション：アラートの状態は [ブロック済み] です。Security Center はこれらのアラートを自動的に処理します。処理済みアラートのリストで表示できます。

サポートされているオペレーティングシステムとカーネルバージョン

オペレーティングシステム	カーネルバージョン
CentOS (64 ビット)	3.10.0-123.9.3.el7.x86_64 3.10.0-229.el7.x86_64 3.10.0-327.10.1.el7.x86_64 3.10.0-327.13.1.el7.x86_64 3.10.0-327.22.2.el7.x86_64 3.10.0-327.36.3.el7.x86_64 3.10.0-327.el7.x86_64 3.10.0-514.10.2.el7.x86_64 3.10.0-514.16.1.el7.x86_64 3.10.0-514.21.1.el7.x86_64 3.10.0-514.26.2.el7.x86_64 3.10.0-514.6.2.el7.x86_64 3.10.0-514.el7.x86_64 3.10.0-693.11.1.el7.x86_64 3.10.0-693.11.6.el7.x86_64 3.10.0-693.17.1.el7.x86_64 3.10.0-693.2.2.el7.x86_64 3.10.0-693.21.1.el7.x86_64 3.10.0-693.5.2.el7.x86_64 3.10.0-693.el7.x86_64 3.10.0-862.11.6.el7.x86_64 3.10.0-862.14.4.el7.x86_64 3.10.0-862.2.3.el7.x86_64 3.10.0-862.3.2.el7.x86_64 3.10.0-862.3.3.el7.x86_64 3.10.0-862.6.3.el7.x86_64 3.10.0-862.9.1.el7.x86_64 3.10.0-862.el7.x86_64 3.10.0-957.1.3.el7.x86_64 3.10.0-957.10.1.el7.x86_64 3.10.0-957.12.1.el7.x86_64 3.10.0-957.12.2.el7.x86_64 3.10.0-957.21.2.el7.x86_64 3.10.0-957.21.3.el7.x86_64 3.10.0-957.27.2.el7.x86_64 3.10.0-957.5.1.el7.x86_64 3.10.0-957.el7.x86_64 3.10.0-1062.1.1.el7.x86_64 3.10.0-1062.1.2.el7.x86_64 3.10.0-1062.12.1.el7.x86_64 3.10.0-1062.18.1.el7.x86_64 3.10.0-1062.4.1.el7.x86_64 3.10.0-1062.4.2.el7.x86_64 3.10.0-1062.4.3.el7.x86_64 3.10.0-1062.7.1.el7.x86_64 3.10.0-1062.9.1.el7.x86_64 3.10.0-1062.el7.x86_64 3.10.0-1127.10.1.el7.x86_64 3.10.0-1127.13.1.el7.x86_64 3.10.0-1127.18.2.el7.x86_64 3.10.0-1127.19.1.el7.x86_64 3.10.0-1127.8.2.el7.x86_64 3.10.0-1127.el7.x86_64 3.10.0-1160.11.1.el7.x86_64 3.10.0-1160.15.2.el7.x86_64 3.10.0-1160.2.2.el7.x86_64 3.10.0-1160.21.1.el7.x86_64 3.10.0-1160.24.1.el7.x86_64 3.10.0-1160.25.1.el7.x86_64 3.10.0-1160.31.1.el7.x86_64 3.10.0-1160.36.2.el7.x86_64 3.10.0-1160.41.1.el7.x86_64 3.10.0-1160.42.2.el7.x86_64 3.10.0-1160.45.1.el7.x86_64 3.10.0-1160.49.1.el7.x86_64 3.10.0-1160.53.1.el7.x86_64 3.10.0-1160.59.1.el7.x86_64 3.10.0-1160.6.1.el7.x86_64 3.10.0-1160.62.1.el7.x86_64 3.10.0-1160.66.1.el7.x86_64 3.10.0-1160.el7.x86_64 3.10.0-1160.71.1.el7.x86_64 3.10.0-1160.76.1.el7.x86_64 3.10.0-1160.80.1.el7.x86_64 3.10.0-1160.83.1.el7.x86_64 4.18.0-80.11.2.el8_0.x86_64 4.18.0-147.3.1.el8_1.x86_64 4.18.0-147.5.1.el8_1.x86_64 4.18.0-147.8.1.el8_1.x86_64 4.18.0-193.el8.x86_64 4.18.0-193.1.2.el8_2.x86_64 4.18.0-193.6.3.el8_2.x86_64 4.18.0-193.14.2.el8_2.x86_64 4.18.0-193.19.1.el8_2.x86_64 4.18.0-193.28.1.el8_2.x86_64 4.18.0-240.1.1.el8_3.x86_64 4.18.0-240.10.1.el8_3.x86_64 4.18.0-240.15.1.el8_3.x86_64 4.18.0-240.22.1.el8_3.x86_64 4.18.0-305.3.1.el8.x86_64 4.18.0-305.7.1.el8_4.x86_64 4.18.0-305.10.2.el8_4.x86_64 4.18.0-305.12.1.el8_4.x86_64 4.18.0-305.19.1.el8_4.x86_64 4.18.0-305.25.1.el8_4.x86_64 4.18.0-348.2.1.el8_5.x86_64 4.18.0-348.7.1.el8_5.x86_64 4.18.0-358.el8.x86_64 4.18.0-365.el8.x86_64
Alibaba Cloud Linux (64 ビット)	4.4.95-1.al7.x86_64 4.4.95-2.al7.x86_64 4.4.95-3.al7.x86_64 4.19.24-7.al7.x86_64 4.19.24-7.14.al7.x86_64 4.19.81-17.al7.x86_64 4.19.81-17.1.al7.x86_64 4.19.81-17.2.al7.x86_64 4.19.91-18.al7.x86_64 4.19.91-19.1.al7.x86_64 4.19.91-21.al7.x86_64 4.19.91-21.2.al7.x86_64 4.19.91-22.1.al7.x86_64 4.19.91-22.2.al7.x86_64 4.19.91-23.al7.x86_64 4.19.91-24.al7.x86_64 4.19.91-24.1.al7.x86_64 4.19.91-25.1.al7.x86_64 4.19.91-25.3.al7.x86_64 4.19.91-25.6.al7.x86_64 4.19.91-25.7.al7.x86_64 4.19.91-25.8.al7.x86_64 4.19.91-26.al7.x86_64 4.19.91-26.1.al7.x86_64 4.19.91-26.4.al7.x86_64 4.19.91-26.6.al7.x86_64 4.19.91-26.5.al7.x86_64 4.19.91-27.al7.x86_64 5.10.23-5.al8.x86_64 5.10.60-9.al8.x86_64 5.10.84-10.2.al8.x86_64 5.10.84-10.3.al8.x86_64 5.10.84-10.4.al8.x86_64 5.10.112-11.al8.x86_64 5.10.112-11.1.al8.x86_64 5.10.112-11.2.al8.x86_64 5.10.134-12.al8.x86_64 5.10.134-12.1.al8.x86_64 5.10.134-12.2.al8.x86_64 5.10.134-13.al8.x86_64
Ubuntu (64 ビット)	3.13.0-32-generic 3.13.0-65-generic 3.13.0-86-generic 3.13.0-145-generic 3.13.0-164-generic 3.13.0-170-generic 3.19.0-80-generic 4.4.0-62-generic 4.4.0-63-generic 4.4.0-79-generic 4.4.0-93-generic 4.4.0-96-generic 4.4.0-104-generic 4.4.0-117-generic 4.4.0-124-generic 4.4.0-142-generic 4.4.0-146-generic 4.4.0-148-generic 4.4.0-151-generic 4.4.0-154-generic 4.4.0-157-generic 4.4.0-161-generic 4.4.0-170-generic 4.4.0-174-generic 4.4.0-176-generic 4.4.0-177-generic 4.4.0-178-generic 4.4.0-179-generic 4.4.0-184-generic 4.4.0-194-generic 4.4.0-198-generic 4.4.0-210-generic 4.15.0-23-generic 4.15.0-42-generic 4.15.0-45-generic 4.15.0-48-generic 4.15.0-52-generic 4.15.0-54-generic 4.15.0-62-generic 4.15.0-66-generic 4.15.0-70-generic 4.15.0-72-generic 4.15.0-88-generic 4.15.0-91-generic 4.15.0-96-generic 4.15.0-101-generic 4.15.0-106-generic 4.15.0-109-generic 4.15.0-112-generic 4.15.0-117-generic 4.15.0-118-generic 4.15.0-121-generic 4.15.0-122-generic 4.15.0-124-generic 4.15.0-128-generic 4.15.0-135-generic 4.15.0-145-generic 4.15.0-147-generic 4.15.0-143-generic 4.15.0-151-generic 4.15.0-162-generic 4.15.0-166-generic 4.15.0-169-generic 4.15.0-170-generic 4.15.0-173-generic 4.15.0-175-generic 4.15.0-177-generic 4.15.0-181-generic 4.15.0-189-generic 4.15.0-190-generic 4.15.0-192-generic 4.15.0-193-generic 4.15.0-196-generic 4.15.0-197-generic 4.15.0-200-generic 4.15.0-202-generic 5.4.0-31-generic 5.4.0-47-generic 5.4.0-70-generic 5.4.0-77-generic 5.4.0-86-generic 5.4.0-90-generic 5.4.0-92-generic 5.4.0-94-generic 5.4.0-100-generic 5.4.0-102-generic 5.4.0-106-generic 5.4.0-108-generic 5.4.0-110-generic 5.4.0-113-generic 5.4.0-122-generic 5.4.0-123-generic 5.4.0-125-generic 5.4.0-131-generic 5.4.0-132-generic 5.4.0-135-generic
Anolis OS (64 ビット)	3.10.0-1062.an7.x86_64 3.10.0-1160.an7.x86_64 3.10.0-1160.59.1.0.1.an7.x86_64 3.10.0-1160.62.1.0.1.an7.x86_64 3.10.0-1160.66.1.0.1.an7.x86_64 3.10.0-1160.71.1.0.1.an7.x86_64 3.10.0-1160.76.1.0.1.an7.x86_64 3.10.0-1160.80.1.0.1.an7.x86_64 3.10.0-1160.81.1.0.1.an7.x86_64 4.19.91-25.2.an7.x86_64 4.19.91-25.7.an7.x86_64 4.19.91-26.an7.x86_64 4.19.91-26.4.an7.x86_64 4.19.91-26.5.an7.x86_64 4.19.91-26.6.an7.x86_64 4.19.91-27.an7.x86_64 4.18.0-348.2.1.an8_4.x86_64 4.18.0-348.12.2.an8.x86_64 4.18.0-348.20.1.an8_5.x86_64 4.18.0-348.23.1.an8_5.x86_64 4.18.0-372.9.1.an8.x86_64 4.18.0-372.16.1.an8_6.x86_64 4.18.0-372.19.1.an8_6.x86_64 4.18.0-372.26.1.an8_6.x86_64 4.18.0-372.32.1.an8_6.x86_64 4.19.91-25.7.an8.x86_64 4.19.91-25.8.an8.x86_64 4.19.91-26.an8.x86_64 4.19.91-26.1.an8.x86_64 4.19.91-26.4.an8.x86_64 4.19.91-26.5.an8.x86_64 4.19.91-26.6.an8.x86_64
Red Hat Enterprise Linux (RHEL) (64 ビット)	3.10.0-1062.el7.x86_64 3.10.0-1127.el7.x86_64 3.10.0-1160.71.1.el7.x86_64 4.18.0-80.el8.x86_64 4.18.0-372.9.1.el8.x86_64