안녕하세요 여러분!
이번에는 컨테이너 드리프트에 집중할 것입니다. 곧바로 가자!
第 7 回【 SCSK 技術者によるブログ】 피망 슬롯 の脅威検知は FALCO だけじゃない ~ マルウェア検知編 ~
[SCSK 엔지니어의 블로그] FALCO는 무료 슬롯 사이트의 위협을 감지하는

컨테이너 드리프트는 무엇입니까?

컨테이너 드리프트는 일본어로 "컨테이너 시프트"를 의미합니다. 컨테이너는 이미지 빌드 중에 응용 프로그램을 실행하기위한 소프트웨어 구성 정보를 포함합니다.배치 후 컨테이너를 변경하지 않는 것이 에티켓입니다. 많은 분들이 이것을 알고있을 것입니다.배포 된 컨테이너를 변경하지 마십시오무엇입니까필요할 때마다 동일한 품질로 동일한 응용 프로그램을 시작할 수 있습니다

이 아이디어는 이것을 기반으로하므로 일반적으로 소프트웨어 구성 정보를 실행중인 컨테이너로 변경할 수 없습니다.변경이 발생하면 (컨테이너 이미지의 내용과 다르면) 사이버 공격이 의심됩니다. 공격자가 컨테이너로 침입 한 후 공격자는 공격 도구를 다운로드하고 기존 소프트웨어를 취약한 버전으로 변경합니다어쩌면. 피망 슬롯 is실행중인 컨테이너의 소프트웨어 구성 변경 및 변경된 프로세스의 실행을 차단합니다 (프로세스 킬)나는 그것을 할 것이다. 컨테이너 이미지를 사용할 때 설치되지 않은 이진 파일의 실행을 차단할 수 있기 때문입니다.알 수없는 맬웨어!

컨테이너 드리프트는 매우 강력한 기능이지만 실제로 잘 알려져 있지 않으며 구매 후 고객에게 소개하는 것은 놀라운 일입니다. 구체적으로, 다음 컨테이너 드리프트를 감지하고 보호 할 수 있습니다.

탐지 패턴

1. 컨테이너 배포 후 새로 다운로드 또는 설치된 이진 파일
2. 이진 파일 버전은 패키지 관리자에서 업데이트
3. 이진 파일에 대한 실행 권한 변경
4. 피망 슬롯 설정 화면에 지정된 이진 파일 실행

이번에는 실제로 1을 테스트 할 것입니다.

컨테이너 드리프트 확인

준비

이제 확인을 준비하여 시작하겠습니다.
다음은이 확인을 위해 미리 준비 할 것입니다.

1. 피망 슬롯 에이전트가 설치된 Kubernetes (Docker Environment에서도 사용 가능)
   *이번에는 OpenShift 환경에 설치하여 테스트했습니다.
2. 컨테이너 드리프트의 전제 조건을 충족하는 환경 준비
   https : //docs.피망 슬롯.com/en/docs/피망 슬롯-secure/policies/threat-detect-policies/manage-policies/container-drift/#prerequisites

리뷰

먼저, 확인을위한 정책을 작성합시다.
이번에는 런타임 정책 작성 화면에서 "컨테이너 드리프트"를 선택하십시오.
정책 작성 화면으로 이동하므로 이름에 이름을 입력하고 설명에 값을 입력하고 실행을 방지하는 버튼을 사용하고 "저장"을 누릅니다.
복잡한 설정없이 정책을 만드는 것은 매우 쉬웠습니다.
볼륨 바이너리는 컨테이너에 장착 된 볼륨 내에서 이진 실행을 감지하도록 설정할 수 있습니다. 또한 금지 된 바이너리로 이진 실행을 방지 할 수 있습니다. 편리합니다. 각 옵션에 대한 자세한 내용은 아래 URL의 공식 문서를 참조하십시오.
https : //docs.피망 슬롯.com/en/docs/피망 슬롯-secure/policies/threat-detect-policies/manage-policies/container-drift/configure-container-drift-policy

이제 시도해 봅시다.
이번에는 Nginx 컨테이너를 배포하고 Curl과 함께 Falco OSS 프로젝트에서 제공하는 이벤트 제너레이터 바이너리를 다운로드하여 실행을 방지 할 수 있는지 확인할 것입니다.
Event-Generator는 FALCO 보안 이벤트를 유발하는 프로그램입니다. 자세한 내용은 아래 URL을 참조하십시오. 관심이 있으시면
https : //github.com/falcosecurity/event-generator

먼저 Nginx 컨테이너를 만듭니다.

$ OC 생성 네임 스페이스 테스트

창조가 완료되었습니다. 이번에는 테스트라는 네임 스페이스에서 Nginx를 실행하고 있습니다.

$ OC EXEC -IT NGINX -N TEST -BASH

실행 권한을 부여하면해야 할 일은 실행됩니다.

root@nginx :/# ./event-generator

컨테이너 드리프트 차단 바이너리 실행.

프로세스 트리의 내용을 살펴 보겠습니다.

컨테이너 드리프트가 실행되기 전후에 발생한 프로세스가 발생하면 표시됩니다. 프로세스 흐름이 시각화되므로 감지 시점을 조사하는 좋은 방법 인 것 같습니다!

Last

이번에는 컨테이너 드리프트를 도입했습니다. 컨테이너 작동의 에티켓을 사용하는 매우 피망 슬롯와 같은 기능이었습니다! 컨테이너 배포 후 다운로드하거나 설치 한 파일은 사이버 공격 일 수 있습니다. 컨테이너 드리프트를 사용하면 컨테이너 내부에서 실행 되더라도 알려지지 않은 맬웨어로부터 보호 할 수 있습니다. 가장 알려지지 않은 맬웨어는 시스템에 의해 공격 될 때까지 맬웨어로 알려져 있지 않지만 그러한 것들에 대한 조치를 취할 수 있어야합니다.
이 블로그에서는 보안 및 모니터링, 주로 SysDig, 컨테이너 및 Kubernetes를 계속 다룰 것입니다.
다른 기회를 위해 뵙겠습니다!

*이 시간에 소개 된 기능에 대한 자세한 정보는 아래 URL에서 찾을 수 있습니다.
https : //docs.피망 슬롯.com/en/docs/피망 슬롯-secure/policies/threat-detect-policies/manage-policies/container-drift/

담당자 소개

담당자 이름

Kawasugi

댓글

나는 컨테이너와 Kubernetes 필드 (주로 피망 슬롯)에서 약 3 년 동안 일하고 있습니다. 우리는 또한 컨테이너 기술에 대한 회사 내에서 인식을 높이는 것을 적극적으로 홍보하고 있습니다.

품질 유지

Certified Kubernetes 관리자
Certified Kubernetes 보안 전문가