Runtime Security クイズ
このクイズでは、Falco、Seccomp、AppArmor、eBPF ベースの security、EKS runtime security についての理解を確認します。
クイズ問題
1. Falco は runtime threat を検出するためにどの technology を使用しますか?
A. network packet の分析 B. system call (syscall) の監視 C. log analysis D. memory scanning
答えを表示
答え: B. system call (syscall) の監視
解説: Falco は eBPF または kernel module を使用して、kernel level で system call を監視します。process execution、file access、network connection などの activity を real-time で検出します。
2. Seccomp の主な機能は何ですか?
A. network traffic filtering B. process が実行できる system call を制限する C. file system encryption D. user authentication
答えを表示
答え: B. process が実行できる system call を制限する
解説: Seccomp (Secure Computing Mode) は、whitelist approach を使用して process が実行できる system call を制限します。許可されていない syscall を試行すると、process は終了します。
3. Kubernetes 1.27+ で推奨される default Seccomp profile はどれですか?
A. Unconfined B. RuntimeDefault C. Localhost D. Docker/default
答えを表示
答え: B. RuntimeDefault
解説: RuntimeDefault は container runtime (containerd, CRI-O) によって提供される default Seccomp profile です。
securityContext:
seccompProfile:
type: RuntimeDefaultほとんどの workload に対して適切な security level を提供します。
4. Falco rule における priority field の役割は何ですか?
A. rule の実行順序を決定する B. alert の severity level を指定する C. resource quota を設定する D. log retention period を設定する
答えを表示
答え: B. alert の severity level を指定する
解説: Falco rule の priority は、検出された event の severity を指定します。
- EMERGENCY, ALERT, CRITICAL, ERROR
- WARNING, NOTICE, INFORMATIONAL, DEBUG
- rule: Shell in Container
priority: WARNING5. AppArmor の complain mode では何が起こりますか?
A. すべての access を block する B. policy violation のみを log に記録する C. profile を無効にする D. alert のみを送信する
答えを表示
答え: B. policy violation のみを log に記録する
解説: AppArmor mode:
- enforce: policy violation 時に block して log に記録する
- complain: policy violation 時に log に記録するのみ(debug 用)
- unconfined: profile は適用されない
Complain mode は新しい profile の test に役立ちます。
6. Amazon GuardDuty EKS Runtime Monitoring で検出される threat ではないものはどれですか?
A. cryptocurrency mining B. privilege escalation C. code quality issue D. container escape attempt
答えを表示
答え: C. code quality issue
解説: GuardDuty EKS Runtime Monitoring の検出 type:
- PrivilegeEscalation
- Execution (malicious code)
- CryptoCurrency (mining)
- CredentialAccess
- DefenseEvasion
Code quality は development quality issue であり、security threat ではありません。
7. Cilium Tetragon の主な機能は何ですか?
A. container image scanning B. eBPF ベースの security observability C. network policy management D. Secrets management
答えを表示
答え: B. eBPF ベースの security observability
解説: Tetragon は Cilium の eBPF ベースの security observability tool です。
- process execution monitoring
- network activity tracking
- file access monitoring
- policy ベースの real-time response(例: process termination)
8. Falco で container 内の shell execution を検出する condition はどれですか?
A. container and shell_procs B. spawned_process and container and shell_procs C. exec and shell D. process.name = bash
答えを表示
答え: B. spawned_process and container and shell_procs
解説: Falco rule の例:
- rule: Shell in Container
condition: >
spawned_process and
container and
shell_procs
output: "Shell spawned in container"
priority: WARNINGspawned_process は新しい process creation を意味し、container は container environment を意味し、shell_procs は shell process(bash、sh など)を意味します。
9. Pod に read-only root filesystem を設定するにはどうしますか?
A. readOnlyRootFilesystem: true B. rootfs: readonly C. filesystem.readonly: true D. immutableRoot: true
答えを表示
答え: A. readOnlyRootFilesystem: true
解説:
securityContext:
readOnlyRootFilesystem: trueこの設定により、container の root filesystem が read-only になり、malicious code による file の変更を防ぎます。write access が必要な path には emptyDir volume を mount します。
10. runtime security における「Defense in Depth」strategy とは何を意味しますか?
A. 単一の security layer に依存する B. 複数の重なり合う security layer を適用する C. defense のみに focus する D. external boundary のみを保護する
答えを表示
答え: B. 複数の重なり合う security layer を適用する
解説: Defense in Depth は複数の security layer を使用します。
- Build time: Image scanning、vulnerability analysis
- Deploy time: Admission Control、PSS/PSA
- Runtime: Falco、Seccomp、AppArmor
1つの layer が突破された場合でも、他の layer が保護を提供します。
11. Hubble で policy によって block された traffic を表示する command はどれですか?
A. hubble observe --blocked B. hubble observe --verdict DROPPED C. hubble observe --denied D. hubble observe --policy-violation
答えを表示
答え: B. hubble observe --verdict DROPPED
解説:
hubble observe --verdict DROPPED--verdict DROPPED は network policy によって拒否された traffic を filter します。policy violation を real-time で monitor および分析できます。
12. runtime security の best practice ではないものはどれですか?
A. すべての workload に RuntimeDefault Seccomp を適用する B. すべての node に Falco を DaemonSet として deploy する C. container を root として実行する D. read-only root filesystem を使用する
答えを表示
答え: C. container を root として実行する
解説: runtime security の best practice:
- RuntimeDefault Seccomp を適用する
- Falco を deploy する
- Read-only root filesystem
- non-root user として実行する (runAsNonRoot: true)
- 不要な capability を削除する
- GuardDuty runtime monitoring を有効にする
root として実行することは危険です。container escape により host 上で昇格された privilege が得られるためです。