NIST SP 800-190ガイドを使用してコンテナを保護する方法

NIST SP 800-190 は、コンテナの潜在的なセキュリティ上の懸念に焦点を当て、これらの懸念に対処するための推奨事項を提供しています。コンテナ環境はダイナミックに作り替えが頻繁に行われイミュータブルであるため、NISTは3つの主要な課題に焦点を当てています：

1. 規模:典型的なコンテナ環境には、100個から1000個のコンテナが存在します。コンテナインフラはダイナミックな環境であるため、ある時には10個のコンテナがアクティブになり、次の瞬間には1000個のコンテナがアクティブになる可能性があります。コンテナ・セキュリティ・ソリューションは、それに応じて拡張可能であることが求められます。また、ほとんどのコンテナ通信はコンテナ間（東西）で行われるため、コンテナ・セキュリティ・ソリューションがコンテナインフラに組み込まれ、ネットワークトラフィックを保護し、可視化することが不可欠です。
2. 自動化:「自動化はコンテナ管理の中心であり、継続的インテグレーション／継続的デプロイメント（CI/CD）パイプラインの基礎となります」⑴コンテナ・セキュリティ・ソリューションは、自動化されたプロセスとアプリケーション（例えば、CI/CDオーケストレーションのJenkins、イメージリポジトリのGit、イメージスキャンのJFrog Artifactory）に、ビルドからリリース、ランタイムまでのすべてのフェーズで完全に統合されていなければなりません。
3. 中央でのポリシー管理と適用:急速に拡張され、自動化されたインフラストラクチャでセキュリティポリシーを適用する唯一の方法は、一元化されたポリシーの表明と、ソフトウェア管理ポリシーの厳格な実施です。コンテナ・セキュリティ・ソリューションは、ポリシーを認識し、ポリシー違反を追跡して、それに応じて警告と強制を行うことができなければなりません。後述するように、これにはポリシー違反のコンテナを自動的に隔離する機能も含まれます。

NIST SP 800-190の概要に関するウェビナーをご覧ください。

NIST対策勧告に対するNeuVectorのサポート

NeuVector NISTドキュメントをダウンロードし、NIST SP 800-190がセクション3.0で論じているコンテナの課題に対して、NeuVectorコンテナ・ネットワーク・セキュリティ・ソリューションがどのように具体的な対策（セクション4.0に記載）に対応しているかをご覧ください。

NIST SP 800-190ガイドに記載されているイメージの脆弱性管理、アドミッションコントロール、レジストリ管理、オーケストレータセキュリティ、ランタイムセキュリティ、ネットワークセグメンテーションの主要な領域は、NeuVectorソリューションによって対処され、その対策は文書に記載されています。

その対策は以下の通りです：

4.1 イメージ対策

4.2 レジストリ対策

4.3 オーケストレータ対策

4.4 コンテナ対策

4.5 ホスト OS 対策

6.x コンテナのライフ・サイクル・セキュリティ

NISTコンテナライフサイクルセキュリティのNeuVectorサポート

NISTは、CI/CDが、コンテナの構築、リリース、実行のライフサイクルの重要な側面であることを明確にしています。NIST SP 800-190のセクション6.0では、コンテナ技術のライフ・サイクル・セキュリティに関する考慮事項について説明しています。コンテナセキュリティ・ソリューションの評価では、セクション4.0のNIST対策とセクション6.0のコンテナライフサイクルセキュリティの考慮事項の両方に対応することが不可欠です。

NeuVectorは、CI/CDパイプラインと完全に統合し、ソフトウェア・ライフサイクルの構築、リリース、実行の各フェーズを通じてセキュリティを提供します。ホストベースのコンテナファイアウォールとして、NeuVectorは典型的なダイナミックなコンテナ環境のにマッチした完全にスケーラブルな方法で効率的なローカルモニタリングと保護を提供します。

深層防御のためのNISTガイダンスの拡張

NIST SP 800-190ガイドは、特に多くの組織がコンテナやCI/CDに取り組み始めたばかりであることを考慮すると、コンテナセキュリティにかなり積極的に取り組んでいます。NISTは、コンテナがセキュリティ態勢を改善する扉を開くと同時に、コンテナは潜在的な攻撃対象領域を大幅に拡大し、インフラストラクチャに新たな脆弱性をもたらすリスクを増大させることを認識しています。このようなリスクの増加から保護するためには、コンテナのライフサイクル全体という観点から、コンテナセキュリティの課題に対処するための具体的な対策に焦点を当てる必要があります。

しかし、NIST SP 800-190 文書では、実行時のコンテナセキュリティ要件よりも、コンテナ開発の本番前（予防）フェーズに重点を置いています。最善の予防的セキュリティでも、インサイダーやゼロ・デイ・エクスプロイトからの有害な攻撃を完全に排除することはできません。ここ数年で組織が経験したタイプのデータ侵害を検出し、防止するためには、強力なコンテナ・ネットワーク・セキュリティを実装することが極めて重要です。

コンテナ導入のための深層防御には、以下が含まれます：

• ディープ・パケット・インスペクション（DPI）とマルチプロトコル・アプリケーション・セグメンテーションを備えたレイヤー7のコンテナファイアウォール
• DNS、DDoS、SQLインジェクションなどのネットワーク攻撃検知
• 非暗号化ネットワーク通信における機密データの検出
• PCIおよび非PCIファイアウォール用のワークロードの自動セグメンテーション
• Kubernetesシステムコンテナのネットワーク動作のモニタリング
• デバッグとフォレンジックのための自動パケットキャプチャ
• リアルタイム接続可視化とネットワーク攻撃表示

NeuVectorは、特定のコンテナセキュリティ対策とコンテナライフサイクル全体のセキュリティの両方に対応できるユニークな立場にあります。現在利用可能な唯一の真のレイヤー7コンテナファイアウォールであるNeuVectorは、本番環境でのコンテナデプロイメントに前例のないクラウドネイティブな可視性と保護を提供します。

ガイドをダウンロード（英語のみ）