インフラ モダナイゼーション

Google の Container-Optimized OS における CIS セキュリティ強化サポート

※この投稿は米国時間 2022 年 5 月 6 日に、Google Cloud blog に投稿されたものの抄訳です。

Google では、クライアントとユーザーのデータ保護をより簡単かつスケーラブルにするため、セキュリティ優先の理念に従い、強力なセキュリティ原則を Google Cloud の複数のレイヤに組み込んでいます。この理念に則り、Google は Container-Optimized OS が業界標準のセキュリティのベスト プラクティスを遵守していることを確認する必要があります。そのため、Container-Optimized OS 向けの CIS ベンチマークをリリースしました。これは、これまで行ってきたセキュリティの強化や対策に関する推奨事項をコード化したものです。Google の Container-Optimized OS 97 リリースは、CIS レベル 1 コンプライアンスをサポートしており、CIS レベル 2 のセキュリティ強化サポートを有効にするオプションが追加されました。

CIS ベンチマークは、各種オペレーティング システムを含むさまざまなソフトウェア システムのセキュリティに関する推奨事項を定義するために役立ちます。過去に、Google はコンテナ オーケストレーション領域への継続的な貢献の一環として、Kubernetes の CIS ベンチマークを開発しました。Container-Optimized OS 向け CIS ベンチマークの構築を決定したのは、業界内で認知度が高く、オープンソースで作成と確認が行われ、OS のセキュリティ強化に関しても最適なベースラインを提供できるからです。

Google の Container-Optimized OS 向けベンチマークは、ディストリビューションに依存しない Linux OS 用に CIS のセキュリティ コミュニティが定義した CIS ベンチマークをベースにしています。一般的な Linux のセキュリティに関する推奨事項(ファイルの権限の厳格化など)の適用に加え、Container-Optimized OS 特有のセキュリティ強化対策(dm-verity でファイルシステムの整合性をチェックする機能が OS にあるか、ログを Cloud Logging にエクスポートできるかを検証するなど)を盛り込みました。また、Container-Optimized OS は、最小限の OS フットプリントにより攻撃対象を減少できるため、適用されない一部のチェックを削除しました。Container-Optimized OS 97 以降では、CIS レベル 1 のサポートが含まれ、ユーザーはオプションでレベル 2 のセキュリティ強化のサポートも適用できます。

しかし、コンプライアンスとは一度だけセキュリティ強化を行えばよいというものではありません。デプロイされた OS イメージがライフサイクル全体を通じてコンプライアンスを遵守し続けることを確認する必要があります。Google では、VM とコンテナ イメージが最新の CIS セキュリティ ガイドラインを維持しているかどうかを検証できるよう、Google Cloud プロジェクトで継続的にスキャンを実行しています。リソース使用量のオーバーヘッドを抑えて幅広いプロダクトのスキャンをサポートするため、Google 独自のオープンソース構成スキャナ Localtoast を開発しました。

Localtoast は高度なカスタマイズが可能で、ローカルおよびリモートのマシン、VM、コンテナ上の安全でない OS 構成を検出するために使用できます。Google は、Container-Optimized OS のインストールやその他の OS の CIS コンプライアンスを幅広く検証するために、社内で Localtoast を使用しています。この構成やスキャン結果は、Kritis などのデプロイ時セキュリティ強化システムが使用するのと同じ Grafeas 形式で保存されます。これにより、既存のサプライ チェーン セキュリティや整合性ツールとの統合が容易になります。COS でこの Localtoast スキャナを使用する方法については、こちらの動画をご覧ください。

Localtoast リポジトリには、Container-Optimized OS の CIS ベンチマークをスキャンするために役立つスキャン構成ファイルのセットが含まれています。その他の Linux OS については、ディストリビューションに依存しない Linux CIS ベンチマークをサポートおよびベースとする、幅広い Linux に関連するセキュリティ検出結果を提供するためのフォールバック構成が含まれています(将来的にはさらに多くの OS をサポートする予定です)。

ライブ インスタンスをスキャンするための構成ファイルとは別に、Google はコンテナ イメージをスキャンするために変更した構成ファイルもリリースしました。

Container-Optimized OS 97 以降には、Localtoast およびプリインストールされた CIS コンプライアンスをサポートする Container-Optimized OS 固有のスキャン構成ファイルが含まれています。ぜひ Google のユーザーガイドをご利用いただき、提供ツールを活用することでクラウド インフラストラクチャの安全性確保に向けてさらなる一歩を踏み出しましょう。

ご質問がございましたら、お気軽にお問い合わせください


- SWE 脆弱性管理チーム Erik Varga
- SWE Container-Optimized OS チーム Anil Altinay