コンテナーセキュリティ
多くの場合、Linuxサーバーは、Dockerコンテナーと Dockerツールを実行するための基本です。コンテナーセキュリティ機能は、ESET Server Security for Linuxのリアルタイムファイルシステム保護の一部です。
ESET Server Security for Linuxは、コンテナーの脅威または不審なアクティビティを検出し、ブロックできますが、排除することはできません。つまり、不審なスクリプトの実行はブロックされますが、削除されません。このようなスクリプトは手動で削除できます。
リアルタイムファイルシステム保護
ESETのリアルタイムファイルシステム保護は次のフェーズでコンテナーを検査できます。
•コンテナイメージの作成プロセス
•ESSLで保護されたコンピューターにコンテナーイメージを展開する
コンテナー内のアクティビティもリアルタイムで不審な動作の検査が行われます。
Webアクセス保護
Webアクセス保護は、ホストネットワーク上のコンテナーでのみサポートされます。他のネットワークの種類のコンテナーは保護されません。コンテナーがホストネットワーク上にある場合、すべてのHTTPトラフィックが自動的に検査されます。HTTPSトラフィックの検査を有効にするには、ESET-SSL-Filter-CA.pem証明書をコンテナーにインポートします。
証明書は、次の場所にあります。
/etc/ssl/certs/ |
または
/etc/pki/ca-trust/extracted/pem/ |
オンデマンド検査
オンデマンド検査は、感染したファイルがパブリックマウントポイントにあり、プライベート名前空間に隠されていない場合、感染を駆除できます。
Kubernetes
containerdを使用するKubernetesでは、感染したコンテナーのデプロイが検出され、デプロイは失敗します。
ログ内のファイル検出の例:
09.09.2024 13:56:43,1,Real-time file system protection,file:///var/lib/rancher/k3s/agent/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/82/fs/eicar.com,Eicar,Test file,Cleaned by deleting,root,/var/lib/rancher/k3s/data/e50868881d9744d0d0027dda983507e867b3787482eb00005d97239d9aa501a5/bin/k3s,Event occurred on a newly created file.,3395856CE81F2B7382DEE72602F798B642F14140,@NAME=Eicar@TYPE=Teststring@SUSP=inf |
The pod cannot start and logs the pull error:
root@userr-kubernetes:~/k8s_test# kubectl describe pods ...
Normal Pulling 7m47s (x4 over 10m) kubelet Pulling image "user/ubuntu_with_eicar:1.0" Warning Failed 7m27s (x4 over 9m48s) kubelet Error: ErrImagePull |
CRI-Oを使用するKubernetesでは、感染したコンテナーのデプロイは検出されるだけで、駆除されず、コンテナーが起動します。
|
ネットワーク隔離がアクティブな場合: •ブリッジネットワーク上のコンテナー間の通信がブロックされます。 •オーバーレイネットワークコンテナーからホストへの通信がブロックされます。 •Webアクセス保護は、コンテナー通信を検査しません。 |
ESETでは、次のテストを行いました。
•containerdを使用したKubernetes
•CRI-Oを使用したKubernetes