コンテナ セキュリティ: DevOps エンジニアのための 5 つのベスト プラクティス

コンテナ セキュリティ クラウド ネイティブ アプリケーションがコンテナ環境に関連するサイバー セキュリティの脅威から保護されるようにします。

コンテナ化により、多くの企業や組織はアプリケーションを異なる方法で開発および展開するようになりました。最近のガートナーのレポートによると、2022 年までに世界の組織の 75% 以上がコンテナ化されたアプリケーションを本番環境で実行するようになり、2020 年の 30% 未満から増加しています。ただし、コンテナには多くの利点があるにもかかわらず、適切に保護されていない場合は間違いなくサイバー攻撃にさらされる原因となります。

以前、サイバーセキュリティは「境界」を保護することを意味していました。コンテナは、新たな複雑さの層を導入することで、この概念を時代遅れにします。コンテナ化された環境には追加の抽象化レベルがあり、これらの新しいアプリケーションを解釈、監視、保護するための特定のツールが必要です。

コンテナセキュリティとは何ですか?

コンテナ セキュリティでは、一連のツールと戦略を使用して、アプリケーション、インフラストラクチャ、システム ライブラリ、ランタイムなどに影響を与える潜在的な脅威からコンテナを保護します。コンテナ セキュリティには、コンテナ スタックの安全な環境を実装することが含まれます。これには次のものが含まれます。

• コンテナイメージ
• コンテナエンジン
• コンテナランタイム
• レジストリ
• ホスト
• コーディネーター

ほとんどのソフトウェア専門家は、Docker と Linux カーネルはマルウェアに対して安全であると自動的に想定していますが、この想定は誇張されやすいものです。

コンテナ セキュリティのベスト プラクティス トップ 5

1. ホストとオペレーティングシステムのセキュリティ

コンテナはカーネル リソースを共有しますが、ホスト マシンからの分離を提供します。見落とされがちなのは、この側面により、攻撃者がカーネルの脆弱性を利用してオペレーティング システムを侵害し、ホストへのルート アクセスを取得することが困難になるものの、不可能ではないということです。

コンテナを実行するホストは、基盤となるホスト オペレーティング システムが最新であることを確認することで、独自のセキュリティ アクセス権限セットを持つ必要があります。たとえば、Container Engine の最新バージョンが実行されています。理想的には、ホスト層の脆弱性を警告するための監視を設定する必要があります。さらに、「シン OS」を選択すると、不要なパッケージを削除して OS を可能な限り小さくすることで、アプリケーションの展開が高速化され、攻撃対象領域が縮小されます。

基本的に、実稼働環境では、管理者が SSH 経由でホストに接続して構成の変更を適用する必要はありません。代わりに、たとえば Ansible や Chef を使用して、IaC 経由ですべてのホストを管理する方が適切です。この方法では、オーケストレーターだけがコンテナの実行と停止に継続的にアクセスできるようになります。

2. コンテナの脆弱性スキャン

ハッカーがインフラストラクチャにアクセスするために使用する可能性のある潜在的な脅威を検出して修復するには、コンテナまたはホストで定期的に脆弱性スキャンを実行する必要があります。一部のコンテナ レジストリではこの機能が提供されています。イメージがレジストリにプッシュされると、潜在的な脆弱性が自動的にスキャンされます。

予防的なアプローチの 1 つは、「シフトレフト」の考え方を採用して CI パイプラインに脆弱性スキャンを設定することです。つまり、開発サイクルの早い段階でセキュリティを実装します。繰り返しになりますが、Trivy はこれを実現するのに最適な選択肢です。

ローカル ノードでこのようなスキャンを設定しようとしているとします。この場合、すべてのイベントを記録し、複数の CVE (Common Vulnerabilities and Exposures) データベースに対して検証する Wazuh は確実な選択肢です。

3. コンテナレジストリのセキュリティ

コンテナ レジストリは、イメージを保存および配布するための便利で集中的な方法を提供します。組織がレジストリに何千もの画像を保存することはよくあります。レジストリはコンテナ化された環境の動作にとって非常に重要なので、適切に保護する必要があります。したがって、コンテナ レジストリへの不正アクセスを監視し、防止するために時間をかけることを検討する必要があります。

4. Kubernetes クラスターのセキュリティ

もう一つの対策としては、過剰な権限を持つアカウントやサイバー攻撃によるリスクを防ぐために、コンテナ オーケストレーションのセキュリティを強化することが挙げられます。最小権限アクセス モデルに従ってポッド間の通信を保護すると、攻撃による被害が制限されます。この場合に推奨されるツールは、侵入テスト ツールとして機能する Kube Hunter です。そのため、Kubernetes クラスターでさまざまなテストを実行し、より安全にするための手順を開始できます。

Kube Hunter に似た Kubescape にも興味があるかもしれません。 Kubernetes クラスター、YAML ファイル、HELM チャートなどをスキャンして、リスク スコアを提供します。

5. 機密性とセキュリティ

コンテナまたは Dockerfile にはシークレットを含めないでください。 (証明書、パスワード、トークン、API キーなど) また、ソース コード、イメージ、ビルド プロセスにシークレットがハードコードされていることもよくあります。シークレット管理ソリューションを選択すると、安全な集中管理された金庫にシークレットを保存できるようになります。

結論は

これらは、コンテナ化された環境を保護するために実行できるプロアクティブなセキュリティ対策の一部です。これは非常に重要です。Docker は新しい時代を迎えており、組み込みの管理機能とセキュリティ機能はまだ初期段階にあるからです。幸いなことに、この記事で紹介したようなさまざまなツールを使用すれば、コンテナ化された環境に優れたセキュリティを簡単に実装できます。