Container Security
Sysdig
インストール方法は、こちら
curl -s https://download.sysdig.com/DRAIOS-GPG-KEY.public | sudo apt-key add -
sudo curl -s -o /etc/apt/sources.list.d/draios.list https://download.sysdig.com/stable/deb/draios.list
sudo apt-get update
sudo apt-get -y install linux-headers-$(uname -r)
sudo apt-get -y install sysdig
sysdig --version
Falco
インストール方法は、こちら
- falco.yaml: Falcoの設定ファイル
- falco_rules.yaml: Falcoのデフォルトルール
- falco_rules.local.yaml: Falcoのカスタムルール
$ cat /etc/falco/falco_rules.local.yaml
# Your custom rules!
- macro: is_container
condition: container.id != host
- list: suspicious_process
items: [ps, sleep]
- rule: spawn_suspicious_process_in_container
desc: Notice spawn suspicious process within a container
condition: evt.type = execve and evt.dir = < and is_container and proc.name in (suspicious_process)
output: Spawn suspicious process in a container (container_id=%container.id container_name=%container.name process=%proc.name parent=%proc.pname cmdline=%proc.cmdline)
priority: WARNING
意図しないコンテナイメージの実行を検知する
コンテナレジストリやイメージ名を指定して、意図しないコンテナイメージの実行を検知することができる。
$ cat /etc/falco/falco_rules.local.yaml
- macro: using_trusted_image
condition: (container.image.repository startswith "docker.io/library" or
container.image.repository startswith "docker.io/nginx")
- rule: Using untrusted container image
desc: Detect using untrusted container image
condition: evt.type = container and not using_trusted_image
output: "Container started using untrusted container image. (user=\%user.name image=\%container.image.repository:\%container.image.tag)"
priority: INFO
docker-bench-security
docker-bench-securityをクローンし、docker-bench-security.shを実行することで、Dockerのセキュリティ設定をチェックすることができる。結果は、docker-bench-security/log/ に置かれる。
特定の監査項目をスキップする場合は、-e
オプションを使用する。