Google announces threat detection for virtual machines in its cloud
2022/02/07 HelpNetSecurity — Google Cloud 上で動いている企業のワークロードを保護するために、Google は新たな防御層を追加した。それは、Virtual Machine Threat Detection (VMTD) と呼ばれるものであり、Security Command Center の Premium 顧客が、仮想マシン内の暗号化マルウェアを検出するのに役立つ。

GCP の Security Command Center 新たに追加された機能
Security Command Center とは、Google Cloud のセキュリティ/リスク管理を一元化したプラットフォームであり、以下の機能が管理者に提供される。
- クラウド資産のインベントリ作成
- ミスコンフィグレーション/脆弱性/脅威の特定
- 業界標準やベンチマークに基づくコンプライアンスの維持を支援
また、発見された問題への対応や修正も可能である。
このプラットフォームの Premium 顧客には、これまでにも、Event Threat Detection と Container Threat Detection で構成される、脅威検出スイートを使用できるというボーナスがあった。それにより、マルウェア/ブルートフォース SSH/データの漏えい/アカウント違反/2段階認証プロセス変更やなどを検出し、また、悪意のスクリプト/追加バイナリ実行などのコンテナ・ランタイム攻撃を検出していた。
新機能である Virtual Machine Threat Detection は、有効化された Compute Engine のプロジェクトと VM インスタンスをスキャンし、VM 内で実行されている不要なアプリケーションを検出する。
Virtual Machine Threat Detection について
Google Cloud の PM である Timothy Peacock は、「Compute Engine では、顧客に追加のソフトウェアを実行させることなく、脅威を検知するための信号収集を提供したかった。インスタンス内でエージェントを実行しないことでパフォーマンスへの影響が少なく、エージェントの展開/管理のための運用負荷が軽減され、潜在的な敵対者に対する攻撃面の露出を低減させられる。我々が学んだのは、ハイパーバイザー (顧客の仮想マシンの下で動作し、オーケストレーションを行うソフトウェア) を改良することで、ほぼすべての脅威を検知できることだ」と説明している。
この機能は、Security Command Center Premium の顧客に対して、オプトイン・サービスとして提供される。この機能は、現時点ではプレビュー版であり、当面は暗号化ソフトウェアを検出する。Peacock は、「VMTD を提供するために、これからの数ヶ月の間に、新しい検知機能を実現し、Google Cloud との全体的なの統合を進めていく予定だ」とも述べている。
タイトルの VMTD とは、Virtual Machine Threat Detection の略であり、Security Command Center の Premium 顧客に、仮想マシン内の暗号化マルウェアの検出機能を提供するものとのことです。動的スキャンを行うものなのでしょうが、インスタンス内でエージェントを実行しないことでパフォーマンスへの影響が少ないとされます。さまざまな角度からの、セキュリティ対策が進むことは、とても好ましいことです。