fbpx

CL LAB

HOME > CL LAB > AquaSecurity > Aquaを使うならこんなふうに 第2回 イメージスキャンについて(1) #aqua #container #security #コンテナ #セキュリティ

Aquaを使うならこんなふうに 第2回 イメージスキャンについて(1) #aqua #container #security #コンテナ #セキュリティ

 ★ 7

第2回 イメージスキャンについて(1)

前回は、Aqua のコンポーネントについて説明しました。今回は、Aquaの大きな機能の1つである、コンテナイメージのスキャンについて説明します。コンテナ環境のライフサイクルは、開発→デプロイ→ワークロードなどを保護します。イメージスキャンは、コンテナライフサイクルの最初に当たる、コンテナ開発の時点でセキュリティを保証します。

イメージ保証

Aquaが提供するImage Assurance(イメージ保証)は、作成したコンテナイメージのセキュリティ問題について、検知・評価し報告します。

Aquaでは、コンテナ作成時にイメージスキャンを行うことで、既知のセキュリティリスク(脆弱性・マルウェア・不正な動作)を事前に検知できます。しかし、新しい脆弱性などは日々発見されるため、作成時だけでなくデプロイ後も継続的にイメージスキャンを実施する必要があります。

イメージスキャンサイクル

Aqua Image Assuranceでは、イメージ作成時のスキャンだけでなく、セキュリティリスクが検知されたイメージのデプロイを停止できます。また、イメージに新たなリスクが見つかった場合、該当イメージを使用している実行中のコンテナを特定し報告できます。

Aqua Image Assuranceは、以下の仕組みで成り立っています。

  • イメージスキャン
    • 静的イメージスキャン
    • Aqua DTA(Dynamic Threat Analysis)によるサンドボックステスト
  • Image Assuranceポリシー
    • ポリシーの設定
    • ポリシーに準拠しているかを確認
  • イメージリスクの可視化
    • Aqua UI上での報告
    • 連携したSIEM(Security Information and Event Management)への報告
  • 組織のセキュリティ要件に応じた、適切なリスク管理

静的イメージスキャン

何を検知するか

Aquaのイメージスキャンは、以下のセキュリティリスクを検知します。

脆弱性

ソフトウェアに存在する、不正な操作・危険な動作をする可能性のあるバグの一種です。主に、ソフトウェアベンダーや個人により発見され、報告されます。報告する組織は異なりますが、概ね以下に情報が集められます。

  • NIST/CVEなどの機関が認定した脆弱性
  • OSベンダー・ソフトウェアベンダーによって認定された脆弱性

マルウェア

不正で有害な動作を意図したソフトウェアです。例えば、以下のようなものが挙げられます。

  • マシン内部から情報を不正に取得
  • データ破壊
  • リソースの不正利用
  • マルウェアの再配布

機密データ

外部に漏れてはいけないデータは、イメージに含まれるべきではありません。例えば、以下のようなものが挙げられます。

  • 暗号化に用いる秘密鍵
  • パスワード

いつスキャンするか

Aquaのイメージスキャンでは、以下のタイミングでスキャンできます。スキャンしたイメージはAquaに登録されます。

  • CI/CDツールと連携
    イメージ作成後、作成したイメージをスキャン
  • コンテナレジストリと連携
    指定したコンテナレジストリ内の指定したイメージをスキャン

Aquaのイメージスキャンは、イメージを自動的にスキャンするよう設定できます。以下のように、イメージの自動スキャンを指定できます。

  • 既知のコンテナレジストリにイメージが追加されたとき
  • 前回スキャンしたときから変化があったとき
  • 毎日・曜日と時間帯を指定してスキャン

1つ以上のイメージを指定して、手動で再スキャンも可能です。

終わりに

今回はAqua Image Assuranceと、 静的イメージスキャンについて説明しました。次回は静的イメージスキャンについて、もう少し説明します。次回をお楽しみに。

Aqua に関する最新情報はこちらをご覧ください。

New call-to-action

CL LAB Mail Magazine

CL LABの情報を逃さずチェックしよう!

メールアドレスを登録すると記事が投稿されるとメールで通知します。

メールアドレス: 登録

※登録後メールに記載しているリンクをクリックして認証してください。

Related post

新規CTA