Dockerを悪用するEDRバイパス手法「Bring Your Own Container」 - Sterra Security Tech Blog
取締役CTOの小竹(aka tkmru)です。 前回に引き続きEDRバイパス手法を紹介します。 EDRバイパスの概要はこちら。 tech-blog.sterrasec.com 昨今のソフトウェア開発において、Dockerをはじめとするコンテナ技術はなくてはならない存在となりました。 開発環境と本番環境の一貫性を保ち、迅速なデプロイを可能にするコンテナは、強力なツールです。 しかし、その利便性の裏側には、セキュリティ製品にとっての盲点が潜んでいます。 コンテナが持つ「隔離」機能は、本来セキュリティを高めるためのものですが、皮肉なことに、この隔離こそがEDRの監視をすり抜けるための隠れ家🏠になります。 この攻撃手法を、私は「Bring Your Own Container(BYOC)」と名付け、AVTOKYO2024にて発表しました。 これは、OSに標準搭載されたツールを悪用する「Livin
なぜ「セキュリティのシフトレフト」が下火になったのか、ネガティブじゃないその理由 Dockerが解説
同レポートは、4500人以上の業界専門家を対象に実施した、アプリケーション開発の現状に関する年次開発者調査の結果をまとめたもの。Dockerは2025年版のセキュリティに関する調査結果のハイライトを幾つか挙げている。本稿では、以下の3つを紹介する。 セキュリティは人ごとではない ボトルネックはセキュリティではない 下火になるセキュリティのシフトレフト セキュリティの当事者意識が広がる レポートによると、セキュリティは専門チームだけの課題ではなく、開発者を含む全員が関与する「チームスポーツ」といった位置付けになっていることが分かった。 調査対象となった企業のほとんどはセキュリティを懸念事項と考えており、「セキュリティは懸念事項ではない」と答えた回答者はわずか1%だった。ある回答者が「われわれはセキュリティ専任チームを置いていない。全員でセキュリティに取り組んでいる」とコメントしているように、
DockerでmacOSを実行できる「Lumier」
コンテナを用いてアプリケーションを構築・テスト・デプロイできるソフトウェアプラットフォームのDockerで、Mac向けOSであるmacOSを実行できるインターフェース「Lumier」が登場しました。 cua/libs/lumier at main · trycua/cua · GitHub https://github.com/trycua/cua/tree/main/libs/lumier 最小限のセットアップでmacOSの仮想マシンを実行できるインターフェースが「Lumier」です。LumierはDockerをパッケージングシステムとして使用し、ホストマシンで実行されている仮想化サービスに接続することで、事前構成済みの環境を提供します。 Lumierを使用することのメリットは以下の4点。 ・数分ですぐに使えるmacOSまたはLinuxの仮想マシン ・仮想マシンへのブラウザベースのVNC
IngressNightmare: Kubernetes環境を脅かす重大な脆弱性の徹底解析
要点まとめ 深刻度: CVSS 9.8(最高レベル)の認証不要リモートコード実行脆弱性 影響範囲: クラウド環境の約43%が影響を受け、6,500以上のクラスターが脆弱な状態 攻撃結果: Kubernetes全クラスターの完全な乗っ取りが可能 修正版: Ingress NGINX Controller バージョン1.12.1および1.11.5で修正済み 脆弱性ID: CVE-2025-1097、CVE-2025-1098、CVE-2025-24514、CVE-2025-1974 はじめに 2025年3月、Wiz Researchチームは、Kubernetes用Ingress NGINXコントローラーに複数の深刻な脆弱性を発見し、「IngressNightmare」と名付けました。この一連の脆弱性は、認証なしで攻撃者がリモートコード実行(RCE)を行い、クラスター内の全名前空間のシークレット
KubernetesセキュリティDeep Dive | sreake.com | 株式会社スリーシェイク
自己紹介 高橋 楓 公立千歳科学技術大学理工学部2年の高橋楓です。普段は趣味や他社の長期インターンにてソフトウェア開発を行っており、インフラ基盤にはDockerを利用しています。しかし、KubernetesやGoogle Cloudをソフトウェア開発に組み込んだ経験はなく、それらの技術をソフトウェア開発のプロセスにどのように組み込めるのかを知りたいと考え、今回のインターンに参加しました。 竜 鶴吉 早稲田大学 基幹理工学部 情報通信学科 学部4年の竜 鶴吉です。大学では、コンテンツ指向ネットワークと呼ばれる技術を活用し、使いやすい分散型のIoT連携システムを構築するというテーマで研究を行っています。興味のあるSRE関連の技術を追求できる良い機会と思い、本インターンに参加しました。 はじめに 研究テーマの概要と選定背景 今回は、Kubernetesのセキュリティについて調査しました。 前半で
「OpenClarity」によるk8sワークロードの脆弱性スキャン
はじめに 3-shakeのSreake事業部に所属する齋藤(@kiyo_12_07)です。第12回目の今回は、Kubernetesなどのプラットフォームで稼働し、ワークロードのセキュリティリスクを検出するOSSツール「OpenClarity」を紹介します。 コンテナイメージのリスク Kubernetesはコンテナ化したアプリケーションをデプロイするシステムです。Kubernetes独自のセキュリティだけではなく、他のコンテナオーケストレーション同様、コンテナ自体のセキュリティについても考慮が必要となります。 セキュリティ対策を考えるときに「どのような攻撃方法があるか」ということから考えるアプローチがあります。下図はコンテナに対する主な攻撃経路をまとめた図です。
Kubernetesのメモリマネージャ機能が正式版に。NUMAサーバでCPUとメモリ割り当ての最適化による性能向上など実現
Kubernetes 1.32でメモリマネージャが正式版となったことが発表されました。これにより、NUMAサーバ上でコンテナ化されたアプリケーションにおいてメモリ割り当てを最適化することによる性能向上などが期待できます。 NUMAサーバの性能を引き出すメモリマネージャ Kubernetesにおけるメモリマネージャの実装は、NUMA(Non-Uniform Memory Access)サーバ上でノードを稼働させる場合に、NUMAサーバの性能を最大限に引き出す設定が必要だったために行われました。 NUMAサーバとは、CPUとメモリのセットを高速なインターコネクトで接続することで大規模なマルチプロセッサ構成となっているサーバのことです。 このNUMAサーバの性能を最適な形で引き出すには、ノードにおける処理がCPUとセットになっているメモリにアクセスすることで行われる必要があります。あるCPUから
クラウドネイティブ時代のプロキシTraefikのDocker入門 - 弁護士ドットコム株式会社 Creators’ blog
こんにちは。税理士ドットコム事業部の @komtaki です。 先日、税理士ドットコムの local 環境に「クラウドネイティブ時代のリバースプロキシ」Traefikを導入しました。プロキシサーバーの候補として最初に思いついたのは nginx でしたが、最終的には、設定ファイル不要で compose.yml だけで完結する Traefik に決めました。 そこで本記事では、Docker を前提としたコンテナのラベルでの設定方法など、導入の過程で調べた Traefik を使うために必要な情報をまとめています。 なお Traefik にはロードバランサーの機能もあるのですが、ここではプロキシの機能に焦点を当てて説明します。 Traefik とは 主な特徴 Docker での基本的な設定 Traefik の本体の設定 ラベルでサービスごとの設定 ポート検知 ルーティングの設定 代表的なルールの設
Kubernetesの脅威モデリングに関する考察|トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
dockerが使うUnionFileSystemを僕なりに解釈した - See the Elephant
こちらも合わせてお読みください namu-r21.hatenablog.com dockerのイメージとコンテナについて今一度 昨日書いた記事が運良くはてブに載り, 色々な方に見ていただけた. namu-r21.hatenablog.com そのおかげで, 有用なコメントを頂けた. なんでファイルシステムの話なのにメモリの話とごちゃまぜになってるんだろ。 コンテナを終了したらメモリ上のデータは消えるが差分ファイルシステムの writable に書かれたデータは残る。rm すると消える。 このコメントを理解するために, dockerが利用している UnionFileSystemとCopy on Writeについて調べた. 僕なりの解釈を書いていこうと思う. dockerのファイルシステム dockerでは, Union File Systemを導入している. これは, コピーオンライトで動作
kcp: Kubernetes APIs Are All You Need (by チェシャ猫) — TechFeed Experts Night#28 〜 コンテナ技術最前線
本記事は、TechFeed Experts Night#28 〜 コンテナ技術最前線のセッション書き起こし記事になります。 イベントページのタイムテーブルから、その他のセッションに関する記事もお読み頂けますので、一度アクセスしてみてください。 本セッションの登壇者 セッション動画 このセッションでは、Kubernetesの仕組みやそもそも論みたいなところから、デモをまじえてお話ししていきます。 手元に立てたクラスタのデモをお見せします。まず、いくつかコマンドを打つとエラーになります。Kubernetesを触ったことのある方はお気付きだと思いますが、このエラーの出方は非常に奇妙です。なぜなら、PodやDeploymentが何も登録されていない場合であれば、「No resources found(リソースが見つからない)」と言ってくるはずだからです。今回のエラーメッセージは「サーバにそんなリソ
DBaaSのトレンドは「Kubernetes対応」と「マルチクラウド」 NTTデータ小林氏が語る、クラウドネイティブなデータベースの今と選定のポイント
「DBaaSの利用率が圧倒的に高い状況です。私も最近データベース移行プロジェクトに携わりましたが、それまで難しいとされてきた基幹システムの大規模なデータベースを、クラウドしかもDBaaSで利用する例が増えています。一方、コンテナやKubernetesでデータベースを動かす例はまだ少ない状況です」(小林氏) 小林氏によると、クラウドネイティブなアプリケーションが増える中で、データベースもそれに追随する動きが進んでいるという。 「クラウドネイティブなデータベースでポイントになるのは、アジリティ、可用性、スケーラビリティです。モノリシックなシステム構成では巨大なデータベースがあり、1~2個の大きなアプリケーションが接続されるため、巨大なデータベースを守ることが重要です。一方、マイクロサービスの構成では、データベースは小さく分割され、サービスごとに異なる可用性やスケーラビリティが求められます。数が
Docker Desktopの代替となる「Podman Desktop 1.9」リリース。Macでの安定性や性能が大幅に向上したコンテナエンジン「Podman 5.0」を搭載
Red Hatが主導して開発するDocker互換のコンテナエンジンであるPodmanを搭載した、Docker Desktop代替となるGUIツール「Podman Desktop」の最新版「Podman Desktop 1.9」正式版がリリースされました。 Podman Desktopの主な機能 Podman Desktopは、デスクトップアプリケーションのGUIを通じて、コンテナの一覧、検索、実行、終了などの基本的な操作、コンテナイメージのビルド、コンテナレジストリへのコンテナイメージのプッシュやプルなどのライフタイムを通じた管理、ローカルでのKubernetes環境の実現、CPUやストレージの利用量の参照などを手軽に行えるツールです。 さらにDocker Dekstopの拡張機能を取り込むこともできます。 Podman Desktop 1.9の新機能 Podman Desktop 1.9
LINEヤフーはDB自動チューニング術を紹介――「KubeCon」で気になった最新のKubernetes×データベース運用ノウハウ
LINEヤフーはDB自動チューニング術を紹介――「KubeCon」で気になった最新のKubernetes×データベース運用ノウハウ:「KubeCon+CloudNativeCon North America 2023」レポート 「クラウドネイティブ」という言葉がなじんだ今、市場に登場した新たなデータベースやデータベースを支えるプラットフォームにまつわる情報を紹介していきます。今回は「KubeCon+CloudNativeCon North America 2023」で気になった内容をお届けします。 「クラウドネイティブ」という言葉がなじんだ今、市場に登場した新たなデータベースやデータベースを支えるプラットフォームにまつわる情報を紹介する本連載。前回はNewSQLの一つである「YugabyteDB」のユーザーによるラウンドテーブルの様子をお届けしました。国内市場でもクラウドネイティブな新しい
CNCF調査: Kubernetesでの支出が増加、半数の組織が過剰プロビジョニング
あなたにとって重要なトピックや同僚の最新情報を入手しましょう最新の洞察とトレンドに関する最新情報を即座に受け取りましょう。 継続的な学習のために、無料のリソースに手軽にアクセスしましょうミニブック、トランスクリプト付き動画、およびトレーニング教材。 記事を保存して、いつでも読むことができます記事をブックマークして、準備ができたらいつでも読めます。
プライベートの時間は極力削らない。Kubernetesエキスパート青山真也氏のコスパ最高な情報収集術
プライベートの時間は極力削らない。Kubernetesエキスパート青山真也氏のコスパ最高な情報収集術 2024年3月5日 株式会社サイバーエージェント インフラエンジニア 青山真也 (Masaya Aoyama) 2016年、新卒でサイバーエージェントに入社。OpenStackを使ったプライベートクラウドやGKE互換なコンテナプラットフォームをゼロから構築し、国内カンファレンスでのKeynoteに登壇。著書に『Kubernetes完全ガイド』『Kubernetesの知識地図』『みんなのDocker/Kubernetes』。現在はKubernetesやOpenStackなどOSSへのコントリビュート活動をはじめ、CloudNative Days Tokyo Co-chair、CNCF Japan ChapterのOrganizer、Kubernetes Meetup TokyoのOrgani
Dockerのファイルアクセスが最大で2倍から10倍高速に。買収したMutagenのファイル同期技術をDocker Desktopに統合
Docker社は、2023年に買収したMutagenの技術を1月25日付でリリースされたDocker Desktop 4.27に統合し、ファイルアクセスの速度を最大で2倍から10倍に向上させたことを明らかにしました。 Docker Desktopを用いた開発環境の課題の1つは、Docker Desktop環境で開発対象としている仮想マシンにあるファイル群と、仮想マシンをホストしているローカルマシン上のファイルとのやりとりに時間がかかることでした。 これはDocker環境からホストのファイルシステムにアクセスするためのbind mountと呼ばれる仕組みに主に起因するものです。 仮想マシンとホストマシンのファイルを高速かつ低遅延で同期 これを解決するのが、今回Docker Desktop 4.27で統合されたMutagenのファイル同期機能です。これはDocker Desktopが構築したコ
Leaky Vessels: Docker and runc Container Breakout Vulnerabilities - January 2024 | Snyk Labs
Snyk security researcher Rory McNamara, with the Snyk Security Labs team, identified four vulnerabilities — dubbed "Leaky Vessels" — in core container infrastructure components that allow container escapes. An attacker could use these container escapes to gain unauthorized access to the underlying host operating system from within the container. Once an attacker gains access to the underlying host
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
デンソー、車にDockerコンテナ SDVのアプリ開発基盤で
Linuxカーネルのコンテナ技術を解説する人気シリーズ『Linux Container Book』第3弾が発売/『Linux Container Book 3』は特殊な機能やセキュリティ面における興味深い点を深掘り【Book Watch/ニュース】
