不備のあるコンテナサービス構成とその公開によるリスクとは
コンテナ構成がデフォルトのままになっているコンテナ ホスティング デバイスは、個別に4万台以上存在し、これらのインスタンスは簡単に特定できる状況にあります。コンテナ プラットフォーム KubernetesとDocker については、それぞれやはり個別に2万以上のインスタンスが存在しています。ただしこれら4万以上の各プラットフォームが、必ずしもエクスプロイトや機密データの漏洩に対し脆弱ということではありません。この状況が浮き彫りにしているのは「どうも基本的構成手順に不備が見られるようだ」ということ、そして「それが原因で、企業が将来的に侵害インシデントの標的となり得るだろう」ということだけです。クラウド サービス内で、一見単純な構成不備があると、組織に対して重大な影響が及ぶ場合もあります。例えば、Docker Hubが19万アカウント分のキーとトークンを失った事件は、クラウド環境内のキーおよび
気軽に使えるContainerの脆弱性スキャンツール Trivy を試してみた | PSYENCE:MEDIA
はじめに こんにちは、スタディサプリENGLISH SRE 木村です。 皆さん、コンテナ使ってますか? リクルートマーケティングパートナーズのサービスでは多くのワークロードがコンテナで動いています。一度コンテナの利便性を知ってしまうともう元に戻れません……(個人差・用途に寄ります)。コンテナ技術は非常に便利ですが、その一方で気になるのがセキュリティです。 今回はコンテナの脆弱性スキャンを試すことが出来るツール。Trivyを試してみました。 弊グループ会社リクルートテクノロジーズセキュリティチームに所属している藤村さん(@masahiro331)も開発を精力的に手伝っています。 コンテナの脆弱性について コンテナを利用する際は、DockerHubなどからImageをPullをしてきて使うことが多いかと思います。しかし、野良Imageなどはもちろん公式Imageの中にも脆弱性が含まれていること
コンテナはなぜ安全(または安全でない)なのか - sometimes I laugh
CVE-2019-5736を覚えていますか?今年の2月に見つかったrunc(Dockerがデフォルトで利用しているコンテナのランタイム)の脆弱性で、ホストのruncバイナリを好き勝手にコンテナ内部から書き換えることができるというものです。 脆弱性の仕組みに興味があったので調べたところ、コンテナを攻撃する方法というのは他にもいろいろあって、runcは頑張ってそれを塞いでいるようです。これまとめると面白いかも、と思ったので以下のようなおもちゃを作りました。 Drofuneは簡単なコンテナランタイムです。drofune runとかdrofune execなどでコンテナを起動したり、入ったりすることができます、といえば想像がつくでしょうか。 これだけでは何も面白くないので、Drofuneはわざと安全でない実装になっています。なので、今回発見されたCVE-2019-5736を利用した攻撃も成立します
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
