7.3. 重大度が中程度のセキュリティーポリシー

Build

Docker CIS 4.4: セキュリティーパッチを含むイメージのスキャンと再構築の確認

イメージがスキャンされず、セキュリティーパッチを含むように再構築されていない場合に警告します。イメージを頻繁にスキャンして脆弱性を見つけ、イメージを再構築してセキュリティーパッチを含め、イメージのコンテナーをインスタンス化することが重要です。

Disabled

デプロイ

30 日間のスキャン期間

デプロイメントが 30 日間スキャンされていない場合にアラートを出します。

有効

デプロイ

CAP_SYS_ADMIN 機能が追加されました

デプロイに CAP_SYS_ADMIN でエスカレートしているコンテナーが含まれている場合にアラートを出します。

有効

デプロイ

読み書き可能なルートファイルシステムを使用するコンテナー

デプロイに読み取り/書き込みルートファイルシステムを持つコンテナーが含まれている場合にアラートを出します。

Disabled

デプロイ

権限のエスカレーションが許可されたコンテナー

コンテナーが意図しない権限で実行され、セキュリティーリスクが発生している可能性がある場合にアラートを出します。この状況は、親プロセスよりも多くの権限を持つコンテナープロセスが、意図しない権限でコンテナーを実行できる場合に発生する可能性があります。

有効

デプロイ

デプロイメントには、1 つ以上のイングレスネットワークポリシーが必要

デプロイメントにイングレスネットワークポリシーが欠落している場合にアラートします。

Disabled

デプロイ

外部に公開されたエンドポイントを使用したデプロイメント

何らかの方法で外部に公開されているサービスがデプロイメントに含まれているかどうかを検出します。クラスター外に公開されるサービスを使用するデプロイメントは、クラスター外から到達できるため、侵入を試みるリスクが高くなります。このポリシーは、クラスター外にサービス公開する必要があるか検証できるように、アラートを提供します。サービスがクラスター内の通信のみに必要な場合は、サービスタイプ ClusterIP を使用します。

Disabled

デプロイ

Docker CIS 5.1: 該当する場合は、AppArmor プロファイルが有効になっていることを確認します

AppArmor プロファイルと呼ばれるセキュリティーポリシーを適用することで、AppArmor を使用して Linux オペレーティングシステムとアプリケーションを保護します。AppArmor は、Debian や Ubuntu などの一部の Linux ディストリビューションでデフォルトで利用できる Linux アプリケーションセキュリティーシステムです。

有効

デプロイ

Docker CIS 5.15: ホストのプロセス namespace が共有されていないことを確認する

コンテナーとホストの間にプロセスレベルの分離を作成します。プロセス ID (PID) namespace はプロセス ID 空間を分離します。つまり、異なる PID namespace のプロセスが同じ PID を持つことができます。

有効

デプロイ

Docker CIS 5.16: ホストの IPC namespace が共有されていないことを確認する

ホスト上の IPC namespace がコンテナーと共有されている場合にアラートを出します。IPC (POSIX/SysV IPC) namespace は、名前付き共有メモリーセグメント、セマフォ、およびメッセージキューを分離します。

有効

デプロイ

Docker CIS 5.19: マウント伝播モードが有効になっていないことを確認する

マウント伝搬モードが有効になっている場合にアラートを出します。マウント伝達モードが有効になっている場合、コンテナーボリュームを双方向、ホストからコンテナー、およびなしモードでマウントできます。明示的に必要な場合を除き、双方向マウント伝搬モードを使用しないでください。

有効

デプロイ

Docker CIS 5.21: デフォルトの seccomp プロファイルが無効になっていないことを確認する

seccomp プロファイルが無効になったときに警告します。seccomp プロファイルは、許可リストを使用して一般的なシステムコールを許可し、その他すべてをブロックします。

Disabled

デプロイ

Docker CIS 5.7: 特権ポートがコンテナー内にマップされていないことを確認する

特権ポートがコンテナー内でマップされたときにアラートを出します。1024 未満の TCP/IP ポート番号は特権ポートです。セキュリティー上の理由から、通常のユーザーとプロセスはそれらを使用できませんが、コンテナーはそれらのポートを特権ポートにマップする場合があります。

有効

デプロイ

Docker CIS 5.9 および 5.20: ホストのネットワーク namespace が共有されていないことを確認する

ホストのネットワーク namespace が共有されている場合に警告します。HostNetwork が有効な場合、コンテナーは別のネットワークスタック内に配置されず、コンテナーのネットワークはコンテナー化されません。その結果、コンテナーはホストのネットワークインターフェイスに完全にアクセスでき、共有 UTS namespace が有効になります。UTS 名前空間は、ホスト名と NIS ドメイン名を分離し、その namespace で実行中のプロセスから見えるホスト名とドメインを設定します。コンテナー内で実行されるプロセスは通常、ホスト名またはドメイン名を知る必要がないため、UTS namespace をホストと共有しないでください。

有効

デプロイ

スキャンなしのイメージ

デプロイメントにスキャンされていないイメージが含まれている場合にアラートを出します。

Disabled

Runtime

Kubernetes アクション: Pod へのポート転送

Kubernetes API がポート転送リクエストを受信したときにアラートを出します。

有効

デプロイ

コンテナーランタイムソケットのマウント

デプロイでコンテナーランタイムソケットにボリュームマウントがある場合にアラートを出します。

有効

デプロイ

重要なホストディレクトリーのマウント

デプロイメントが機密性の高いホストディレクトリーをマウントするときにアラートを出します。

有効

デプロイ

リソース要求または制限が指定されていません

リソースの要求と制限がないコンテナーがデプロイメントに含まれている場合にアラートを出します。

有効

デプロイ

自動的にマウントされる Pod サービスアカウントトークン

アプリケーションが Kubernetes API との対話を必要とする Pod のみにデフォルトサービスアカウントトークンのマウントを最小限に抑えることで、Pod のデフォルトサービスアカウントトークンが侵害されないように保護します。

有効

デプロイ

Privileged Container

デプロイメントに特権モードで実行されるコンテナーが含まれている場合にアラートを出します。

有効

Runtime

crontab の実行

crontab スケジュールジョブエディターの使用を検出します。

有効

Runtime

Netcat の実行が検出されました

netcat がコンテナー内で実行されるタイミングを検出します。

有効

Runtime

OpenShift: Advanced Cluster Security Central Admin Secret へのアクセス

誰かが Red Hat Advanced Cluster Security Central Secret にアクセスしたときにアラートを出します。

有効

Runtime

OpenShift: なりすましユーザーがアクセスする Kubernetes Secret

誰かがユーザーになりすましてクラスター内の Secret にアクセスしたときにアラートを出します。

有効

Runtime

リモートファイルコピーバイナリー実行

デプロイメントでリモートファイルコピーツールが実行されたときにアラートを出します。

有効