[Trend Micro DIRECTION]コンテナ環境向けにデザインされたセキュリティ ~本邦初公開!Deep Security新製品群~

2019.11.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

もこ@札幌オフィスです。

TrendMicro DIRECTIONに参加していますので、セッションレポートを公開します!

セッションレポート

・コンテナ利用時に想定される脅威とポイント

・トレンドマイクロが提供するソリューション

Trend MicroはAWS Container Competency取得済み

https://aws.amazon.com/containers/partner-solutions/

ランサムウェアは減ってきているが、コインマイナーが10倍に増えてきている

・S3の設定不備を利用して静的ページにコインマイナーを埋め込む攻撃なども

スケールしやすい(=潤沢な)環境なので狙われやえすい

サーバーではなくアカウントごと乗っ取るパターンも

コンテナを利用した不正マイニング

→DockerのAPIを悪用してコンテナでマイニング

→Kubernetesの設定不備による情報漏洩/不正マイニング

テスラのクラウドにハッキング、仮想通貨の採掘に利用 https://japan.cnet.com/article/35114995/

→コンテナのImageに対してマイナーを入れてマイニングを行う

DeepSecurity Smart Check

コンテナイメージの脅威を可視化する

コンテナイメージのコンプライアンス確認

CodeCommit/CodePipeline/CodeBuikd/AmazonECRを利用したパイプラインだと、

ECRとSmartCheckを連携し、SmartCheckを実行することが可能。

S3にファイルをアップロードする前にウイルススキャンをすることも可能。

Deep Security Agent for Kubernetes

Deep Security Agentを"コンテナ化"している

ホストOSにAgentをインストールすることなくセキュリティを提供

Deep Security Application Protection

アプリケーションが自分自身を守る

OSにインストールすることなく、サーバーレス環境でもセキュリティを提供することができる。

→OSレベルではなくアプリケーションレベルで提供

SSLなどで暗号化されたトラフィックも、アプリケーション側なので問題ない

Serverlessにも対応

アプリケーションレベルなのでコンテナなどにも対応

コードに埋め込むタイプなので、コードを書き換えられいサービスなどは別の製品を利用。

Fargateなどにも活用可能。

コンテナデプロイ

デプロイ前はSmart Checkを活用してコンテナイメージの脅威を可視化

デプロイ後はDeep Security Agent (on Kubernetes) or Application Protection を活用。

コンテナ環境のコンプライアンス対策

Cloud Conformity

520個ほどのルールをチェックすることが可能。

・クラウドの設定不備の検出

・可視化

・修正を支援

・コスト最適化

・コンプライアンスの準拠支援

AWS環境でWell Architected Framework準拠の支援も可能

CloudFormation Template Scanner

→ CloudFormationのデプロイ前にリスクの可視化をすることができる。

リスクの自動修正

コストの最適化機能

AWS/Azure/Goolge Cloudに対応予定。

Security And Compliance

AWS Well Architected Frameworkに元ずいてコンプライアンスに準拠しているかしてないかを可視化することができる。

サービスごと/AWSアカウントごと/リージョンごとに可視化可能。Excel出力も対応。

独自ルールを作成して対応することも可能。

リスクの可視化、リスクの説明、リスクの対応方法を見ることが可能。

AWSのコンソールから設定方法と、CLIから設定する方法を教えてくれる。

自動で修正する機能もあり。

まとめ

・デプロイ前、デプロイ後などのコンテナセキュリティーのポイントを押さえる

デプロイ前: SmartCheck

デプロイ後: DeepSecurity (for Kubernetes) / Deep Security Application Protection

・ 各種コンテナサービスに適したDeep Securityシリーズを活用する

・ コンテナ環境特有の設定不備、コンプライアンス違反を可視化と対処をする。

セッションスライド等は一般公開されていないですが、 aws@trendmicro.co.jp 宛に「このブログを見た!」と伝えていただくと特別にスライドをお渡し頂けるそうです!

Deep Security Application Protection、SmartCheck、Cloud Conformityなどなど、新しいサービスにご興味がある方は是非メールしてみてください!