Aqua Dynamic Threat Analysis (DTA) のアドオン導入と機能を試してみた

2022.04.06

こんにちは、コンサル部@大阪オフィスのTodaです。

aqua社が提供しているAqua Enterpriseを試す機会がありアドオン機能で提供されているDynamic Threat Analysis(DTA)の追加導入と機能を試してみました。

Aqua Enterpriseとは?

Aqua Enterpriseはaqua社が提供するソリューションでコンテナとクラウドネイティブアプリのために開発された、 フルライフサイクルなセキュリティソリューションになります。

■ aqua コンテナ・クラウドネイティブアプリのためのセキュリティソリューション
https://www.creationline.com/aqua

製品の内容については下記記事をご覧ください。

Dynamic Threat Analysis(DTA)について

Dynamic Threat AnalysisはコンテナーイメージをAquaが提供するサンドボックス環境に実行する事で、悪意のある動作やコンテナエスケープ、マルウェア、暗号通貨マイナー、コードインジェクションバックドア、その他の脅威を把握する事ができます。
ライブ環境に適用しないと把握できないような脅威のチェックに役立ちます。
サンドボックス環境は安全に隔離された環境で、展開されたシステムはチェック後に削除されます。

DTA機能はDTA専用のライセンスが必要になります。

DTAの有効化

DTAを有効化する場合、追加のライセンストークンの適用が必要になります。
下記にて取得から適用までをおこないます。

ライセンス情報の参照

Aquaポータルサイトにログインをおこないユーザ情報からライセンスを選択します。

ライセンス情報の参照

DTAライセンスの取得

ライセンス情報内に表示されるDTAのタブをクリックして表示される「API Url」と「Token」を取得します。
DTA機能は上限のQuota(割当量)が決まっているため合わせて数値も確認します。

DTAライセンスの取得

DTAライセンス適用

オンプレ環境のAqua Enterpriseにログインをおこない[Settings] > [Dynamic Threat Analysis] に移動します。
[Enable Dynamic Threat Analysis Scanning]のチェックを付けて表示される項目にURLとTokenを入力します。
URLは「https://[API URL]」の形式で入力します。

DTAライセンス適用1

入力後は[Check License]をクリックして正しいかの検証をおこないます。
正常の場合、ライセンスに設定されているQuotaの表示がおこなわれます。

DTAライセンス適用2

確認後、画面右上の[Save]をクリックして適用します。
上記でDTAライセンスの有効化は完了になります。

DTAを利用したコンテナイメージスキャン

DTAを利用したイメージスキャン設定は別途コンテナイメージのスキャンが設定されている状態からおこないます。
コンテナイメージのスキャン設定は下記記事を参照ください。

DTAの利用はQuotaの制限があるため全てのコンテナイメージに適用する事はあまりオススメできません。
必要なリソースのみ利用できるようにラベルの条件を利用して適用します。

Assurance Policiesの適用ルール変更

オンプレ環境のAqua Enterpriseにログインをおこない[policies] > [Assurance Policies] に移動します。
DTAのポリシーがあらかじめ用意されていますので、[DTA]を選択します。
※新規ポリシーを作成する場合は、Imageにて作成をおこないControlsにてDynamic Threat Analysisを有効化することで同じ状態になります。

Assurance Policiesの適用ルール変更

初期のScope指定では、リポジトリのタグでDTAと付いている物を判定するようになっています。
こちらをラベルにDTAと付けても判定できるように OR条件にて指定します。

# 変更前
image.name.*:DTA

# 変更後
image.name.*:DTA OR aqua.label.DTA

設定後、画面上部の[Save]をクリックします。

Imagesへのラベル指定

左メニューから[Image]を選択してスキャンをするリポジトリを選択します。
詳細をクリックするとタグ別のイメージ名が表示されますので、右枠のLabelsに「DTA」と入力して項目追加をおこないます。

Imagesへのラベル指定1

Imagesへのラベル指定2

再フルスキャンの実行

対象のイメージを選択してフルスキャンをおこないます。
DTAが有効な場合、サンドボックス環境でのチェックが含まれるためスキャン完了まで時間がかかります。
実行が正常に終了した場合、DTAのアイコン表示と詳細画面の[Dynamic Threat Analysis]タブにて結果が表示されます。

再フルスキャンの実行1

再フルスキャンの実行2

上記でDTAの設定とスキャンの実行が完了になります。

DTAのチェック内容について

DTAでチェックした内容は5点の項目に分かれて表示されます。
項目をクリックする事で脅威になりえる部分について詳細が表示されます。
詳細は後日別記事にてご案内いたします。

  • Collection & Exfiltration: リソース内の情報を蓄積する動作
  • Communication: ネットワーク通信を利用してシステムを制御する動作
  • Initial Execution: 攻撃者が作成したコードを実行してネットワーク内の情報を取得する動作
  • Propagation: ローカルとリモートのリソースを識別して悪用する動作
  • Weaponization: 攻撃者が作成したコードを実行してシステムに影響する動作

DTAのチェック内容について

さいごに

今回はAqua EnterpriseのDynamic Threat Analysis(DTA)について試してみました。
DTA機能はAqua社が用意したサンドボックス環境にコンテナが展開され、脅威になる動きがないのチェックを実装できます。
別記事にてDTA機能の活用についてご案内したいと思います。