Kubernetes はランサムウェアの影響を受けないわけではなく、イルミオがどのように支援できるか

、

ソリューションマーケティングディレクター

September 5, 2023

23 最小読取り

ランサムウェアはKubernetesでは問題になりませんよね？コンテナ構成要素は非常に動的で一時的なものであるため、たとえばランサムウェアがポッドをハイジャックして、名前空間間で悪意のあるペイロードを横方向に伝播しようとするリスクはほとんどありません。ポッドの回転と回転停止は非常に動的に行われるため、Kubernetes ではランサムウェアはほとんど問題になりません。したがって、私のクラスターはこの特定のサイバーセキュリティ脅威から安全ですよね？

残念ながら、この仮定は何度も間違っていることが証明されています。ランサムウェアは、Kubernetes ではコンテナクラスター外では動作が異なる傾向がありますが、DevSecOps アーキテクトが無視するわけにはいかない非常に現実的なサイバーセキュリティリスクです。ランサムウェアは Kubernetes クラスターに非常に大きな被害をもたらす可能性があり、最善の対策は予防です。

Illumioは、ランサムウェアがKubernetesクラスターをハイジャックするのを防ぎ、組織が次にサイバー攻撃の被害者になるのを防ぐことができます。‍

Kubernetes におけるランサムウェアの拡散の仕組み

コンテナ以外のワークロードでは、ランサムウェアはホストをハイジャックし、開いているポートを探します。多くのワークロードでデフォルトで開かれている一般的なポートは RDP、SSH、SMB です。ランサムウェアがこれらのポートを介して接続を偽装し、隣接するホストとの接続を確立するのは簡単です。接続が開かれると、ランサムウェアはすぐに攻撃を仕掛けます。悪質なペイロード次のホストに移動し、そのホストを制御して、開いているポートを探します。このプロセスをすべての隣接ホストで非常に迅速に繰り返します。

ランサムウェアは動くのが大好きです。ランサムウェアはネットワークに侵入すると、すぐに横方向に広がります。

このようなホスト間の伝播は、ほとんどの検出/対応型マルウェア保護ソリューションが識別して対応できないほど速く発生する可能性があります。やがて、インフラストラクチャー全体が人質に取られる可能性があります。

Kubernetes では、ホスト (「ノード」とも呼ばれます) は、コンテナコードを実行する仮想マシン (VM) またはベアメタルホストです。ノードの基盤となるオペレーティングシステム (OS) の上に抽象レイヤーを作ります。クラスターは、ポッドとサービスが名前空間に関連付けられているときに作成されます。その名前空間には、その名前空間内で実行されるアプリケーションに必要なすべてのコードとライブラリが含まれます。名前空間内の構成は動的です。コンピュートリソースが水平方向にスケーリングされると、ポッドはスピンアップしてコードを実行し、その後すぐにスピンダウンし、後で別の IP アドレスでスピンアップするだけです。

ポッドの存続期間は非常に短く、ほとんどのポッドは RDP や SSH などのオープンポートを実行しません。これは、ポッドがこれらのプロトコルを使用して他のポッドと通信する傾向がないためです。そのため、ランサムウェアはクラスター内ではほとんど関係がないと認識されることがよくあります。

‍ランサムウェアはKubernetesにおける主要な脅威です‍

しかし、ランサムウェア Kubernetes クラスタでは、すぐにサイバー災害になる可能性があります。悪意のあるコードは、コード開発ライフサイクルの早い段階で導入されても、まだ実行されていないため検出されないことがあります。悪意のあるペイロードは、公開されている API、脆弱な認証設定、パッチが適用されていないソフトウェア、またはおそらく最も一般的なリスクである設定の誤りによって Kubernetes クラスターに導入されることもあります。

サイバー脅威は、ソフトウェアサプライチェーンのどこにでも侵入する可能性があります。たとえば、コンテナーのイメージがオープンソースのリポジトリからダウンロードされ、クラスター内で実行された場合、そのイメージには実行可能な埋め込みコードが含まれている可能性があり、ポッドから基盤となるノードに「エスケープ」して実行することができます。すると、その基盤となるノードにランサムウェアがデプロイされます。その時点で、ランサムウェアはそのノードをハイジャックし、開いているポートを介して隣接するノードへの接続を確立し、脅威が Kubernetes クラスターをホストしている基盤となるすべてのノードを迅速にハイジャックまたは暗号化できるようになります。

これにより、ワーカーノードで実行されているアプリケーションが「ブリック」状態になり、事実上シャットダウンされる可能性があります。コードが基盤となるマスターノードに漏れると、Kubernetes クラスターのコントロールプレーンがハイジャックされ、クラスター全体がブロックされる危険性があります。コード開発ライフサイクルの早い段階で小さな問題が発生しても、すぐに大きな災害になる可能性があります。

この種のマルウェアの例としては、サイロスケープ、2021年3月に発見されました。ほとんど文書化されていないスレッドプロセスの脆弱性を利用して基盤となるノードにアクセスし、kubectlにアクセスしてコマンドを実行し、そのコマンドが隣接するノードに広がります。これは、Kubernetes ノードのコントロールプレーンを保護し、アクセスを他のプロセスによって制限する必要がある理由の明確な例です。Illumio はホスト上の特定のプロセスへのアクセスを強制し、アクセスできるユーザーを制限できます。

‍イルミオはKubernetesのランサムウェアから積極的に保護できます

イルミオ Kubernetes クラスタと基盤となるノードの両方にワークロード通信を適用します。

Kubernetes クラスター内では、 Illumioは、名前空間間、または名前空間と入力コントローラーの外部にあるワークロード間の通信を強制し、ワークロード間の不要な通信を防ぎます。他のベンダーとは異なり、Illumioの可視性と適用範囲はコンテナだけでなくハイブリッドアタックサーフェス全体に及ぶため、SecOpsチームはポリシーのサイロを排除し、既存の運用をコンテナにまで拡大してサイバーレジリエンスを向上させることができます。

Illumioのアプリケーション依存関係マップは、クラスターとクラウド環境全体を可視化します。

基盤となるノード間では、 また、Illumioは通信を強化して、未知の悪意のあるコードがKubernetesクラスターからノードに漏れた場合でも、その悪意のあるコードが隣接するノードに伝播するのを防ぎます。これが可能なのは、Illumio がこれらのノード間のセッションの確立を阻止しているからです。Illumio は、ソフトウェアサプライチェーンの最初に導入された脅威からといっても侵害は避けられないと想定しているため、Kubernetes クラスターは基盤となるインフラストラクチャを混乱させることを意図したランサムウェアから保護されています。

‍方法イルミオによるKubernetesのシフトレフトセキュリティ

サイバーセキュリティにおけるシフトレフトとは、コード開発ライフサイクルの最初にセキュリティソリューションを導入することを指します。

ザの右側ライフサイクルの 1 つは、コードをアプリケーションとしてホストし、その前にファイアウォールをデプロイすることを表しています。

ザの左側そのコードが開発されてから生まれたことを表しています。

管理対象ワークロードのいずれかに未知の脅威がコードに埋め込まれていて、それが後で起動して近隣のホストに拡散しようとした場合、Illumioはその脅威の拡散を防ぎます。

これは、イルミオがその脅威の意図を知らなくても当てはまります。ほとんどの検出と対応のセキュリティソリューションは、決定を下す前に脅威の性質を理解しようとします。しかし、イルミオは決定を下す前にこのことを理解しようとして時間を無駄にしません。ほとんどのワークロードに必要なラテラルコミュニケーションの量は限られているため、開いているポートは閉じるか、継続的に監視する必要があります。デバイスを隔離できるので、Illumioはどのような被害が試みられているのかを知らなくてもラテラルコミュニケーションをすべて防ぐことができます。

Kubernetes はランサムウェアの影響を受けないと見なすべきではありません。予防は最善の修復方法であり、Illumio は Kubernetes であってもランサムウェアがすべてのワークロードに感染することを防ぎます。

イルミオがランサムウェアの拡散からKubernetesを保護する方法について詳しく知りたいですか？今すぐお問い合わせ無料の相談とデモをご覧ください。