読み物メモ(Sysdig Blog: File Integrity Monitoring)
はじめに
個人的な忘備録メモです。(青色部分)
詳細な翻訳等ではないので、詳しくは元の記事をどうぞ。
File Integrity Monitoring
なぜFIMが必要なのか
「そもそも操作できないようにする」ことと「操作されたときに検知できること」は重要です。今回は後者がテーマ。
特にコンテナ内のファイルはコンテナの停止と同時に消えてしまうので、どのような変更がされたのかを検知できる仕組みは需要がありそう。
ホストとコンテナのためのFIMベストプラクティス
- Image Sccaning Policyを作成してチェックする
- Runtime Policyを作成してチェックする
- 自動応答する仕組みを作る
- 包括的なフォレンジックデータを確保する
Memo
ネットワークの制約などにより自由にコンテナイメージを利用できない環境で開発することが多いため、
コストも踏まえて考えるとコンテナ内のもろもろをチェックするようなツールの導入は行わない(行う余裕がない)ことが多いです。
(「そもそも操作できないようにする」という観点でカッチリやるイメージ)
Falcoのようなセキュリティツールの導入もいつかやっていきたい・・・。