Memanfaatkan Log Host untuk Deteksi Ancaman dalam Lingkungan Kontainer
Lingkungan kontainer seperti Docker dan Kubernetes telah merevolusi cara aplikasi di-deploy dan dikelola, menawarkan kecepatan dan skalabilitas yang belum pernah ada sebelumnya. Namun, adopsi ini juga memperkenalkan tantangan keamanan baru. Sifat kontainer yang ephemeral dan abstraksi yang ditawarkannya dari sistem operasi host dapat menciptakan titik buta dalam pemantauan keamanan tradisional. Ancaman dapat bersembunyi atau menyebar dengan cepat dalam ekosistem yang dinamis ini.
Keterbatasan Log Kontainer dan Keunggulan Log Host
Log yang dihasilkan dari dalam kontainer seringkali terbatas pada aktivitas aplikasi spesifik di dalamnya. Selain itu, log ini bisa hilang begitu kontainer dimatikan, menyulitkan analisis forensik jangka panjang. Untuk mendapatkan visibilitas keamanan yang menyeluruh dan persisten, analisis log berbasis host menjadi sangat penting. Sistem operasi host bertindak sebagai fondasi, merekam semua aktivitas yang memengaruhi atau berasal dari kontainer, termasuk interaksi tingkat rendah yang tidak terlihat dari dalam kontainer itu sendiri.
Sumber Log Host Utama untuk Investigasi Keamanan
Beberapa sumber log di sistem operasi host Linux adalah repositori data keamanan yang sangat berharga. Auditd (Linux Audit Daemon) adalah salah satu yang paling penting, merekam peristiwa tingkat sistem seperti eksekusi program, akses file, perubahan status, dan panggilan sistem dengan detail tinggi. Journald atau sistem syslog tradisional mengumpulkan log dari berbagai layanan dan daemon yang berjalan di host, termasuk runtime kontainer. Log kernel juga memberikan wawasan penting tentang aktivitas sistem tingkat rendah. Menganalisis data dari sumber-sumber ini memungkinkan deteksi perilaku mencurigakan terkait kontainer.
Menghubungkan Log Host dengan Aktivitas Kontainer
Log berbasis host dapat digunakan untuk memantau siklus hidup kontainer: kapan sebuah kontainer dibuat, dimulai, dihentikan, atau dihapus. Eksekusi proses di dalam kontainer seringkali terekam di log host sebagai proses anak dari runtime kontainer (seperti dockerd atau containerd). Aktivitas jaringan yang melibatkan antarmuka virtual kontainer atau koneksi keluar masuk yang mencurigakan juga dapat direkam. Perubahan pada sistem file host, termasuk akses ke volume data yang digunakan oleh kontainer atau modifikasi pada lapisan image kontainer, dapat diidentifikasi. Dengan korelasi yang tepat, data log host dapat mengungkap aktivitas tidak sah atau penyalahgunaan sumber daya yang berasal dari dalam atau menargetkan kontainer.
Mengidentifikasi Ancaman Spesifik Kontainer dari Log Host
Teknik serangan spesifik dalam lingkungan kontainer, seperti container escapes (upaya keluar dari lingkungan kontainer yang terisolasi ke host) atau penggunaan kontainer untuk cryptomining ilegal, seringkali meninggalkan jejak yang jelas di log host. Upaya untuk mengubah konfigurasi host, aktivitas yang melibatkan privilege escalation, atau eksekusi biner yang tidak dikenal atau mencurigakan oleh proses yang terkait dengan kontainer adalah indikator kompromi yang dapat dideteksi melalui analisis log host yang cermat. Log ini memberikan bukti forensik yang diperlukan untuk memahami vektor serangan dan dampak intrusi.
Strategi Komprehensif Memanfaatkan Log Host
Keamanan kontainer yang kuat memerlukan strategi logging dan pemantauan yang mencakup host maupun kontainer. Mengumpulkan, memusatkan, dan menganalisis log berbasis host adalah fundamental untuk mendeteksi ancaman yang mungkin lolos dari pengamatan di dalam kontainer itu sendiri. Mengkorelasikan peristiwa dari berbagai sumber log host dan, jika memungkinkan, mengintegrasikannya dengan log dari aplikasi di dalam kontainer, menciptakan pandangan holistik yang diperlukan untuk deteksi ancaman dan respons insiden yang efektif dalam lingkungan kontainer yang kompleks.
Sumber: https://securelist.com/host-based-logs-container-based-threats/116643/