質問
コンテナの改ざん防止機能はありますか?
回答
コンテナの改ざん防止としてはいくつかの観点がありますが、2つの例について説明します。
対象のディレクトリ・ファイルを読取り専用にする
ランタイム保護機能の一つ「Read-Only Directories and Files」で、指定したディレクトリ・ファイルを読取り専用にすることで、対象への変更/削除などをリアルタイムにブロック/検知することが可能です。
※同様の機能で「File Block」という機能もありますが、こちらはファイルやディレクトリへのアクセスを完全にブロック/検知するものであり、似たようですが異なる機能となります。
コンテナの元イメージには存在しない実行ファイルの実行を拒否する
ランタイム保護機能の一つ、Drift Prevention > Prevent running executable not in original image を有効にすることで、コンテナの元イメージには存在しない実行ファイルの実行をブロック/検知することが可能です。
これにより、悪意のあるスクリプト・実行ファイルを何らかの手段で実行中のコンテナ内に持ち込んだとしても、それらの実行が拒否されるため、悪用を防止することが可能です。
コンテナの不変性という特徴を活かしている機能で、細かい設定が不要で、有効にするだけで悪意のある攻撃の大半を防ぐことができる非常に強力な保護機能です。
―――――――――――――――――――――――――――――――――――――――――――――
公開日:2020.7.30
対象バージョン:5.0
※記載内容は上記公開日時点、対象バージョンに基づいた内容となります。記載内容や条件、リンク先URLについては、バージョンアップ等により予告なく変更される可能性がありますので、あらかじめご了承ください。