コンテナ セキュリティ: DevOps エンジニアのための 5 つのベスト プラクティス

コンテナ セキュリティ: DevOps エンジニアのための 5 つのベスト プラクティス

コンテナ セキュリティ クラウド ネイティブ アプリケーションがコンテナ環境に関連するサイバー セキュリティの脅威から保護されるようにします。

コンテナ化により、多くの企業や組織はアプリケーションを異なる方法で開発および展開するようになりました。最近のガートナーのレポートによると、2022 年までに世界の組織の 75% 以上がコンテナ化されたアプリケーションを本番環境で実行するようになり、2020 年の 30% 未満から増加しています。ただし、コンテナには多くの利点があるにもかかわらず、適切に保護されていない場合は間違いなくサイバー攻撃にさらされる原因となります。

以前、サイバーセキュリティは「境界」を保護することを意味していました。コンテナは、新たな複雑さの層を導入することで、この概念を時代遅れにします。コンテナ化された環境には追加の抽象化レベルがあり、これらの新しいアプリケーションを解釈、監視、保護するための特定のツールが必要です。

コンテナセキュリティとは何ですか?

コンテナ セキュリティでは、一連のツールと戦略を使用して、アプリケーション、インフラストラクチャ、システム ライブラリ、ランタイムなどに影響を与える潜在的な脅威からコンテナを保護します。コンテナ セキュリティには、コンテナ スタックの安全な環境を実装することが含まれます。これには次のものが含まれます。

  • コンテナイメージ
  • コンテナエンジン
  • コンテナランタイム
  • レジストリ
  • ホスト
  • コーディネーター

ほとんどのソフトウェア専門家は、Docker と Linux カーネルはマルウェアに対して安全であると自動的に想定していますが、この想定は誇張されやすいものです。

コンテナ セキュリティのベスト プラクティス トップ 5

1. ホストとオペレーティングシステムのセキュリティ

コンテナはカーネル リソースを共有しますが、ホスト マシンからの分離を提供します。見落とされがちなのは、この側面により、攻撃者がカーネルの脆弱性を利用してオペレーティング システムを侵害し、ホストへのルート アクセスを取得することが困難になるものの、不可能ではないということです。

コンテナを実行するホストは、基盤となるホスト オペレーティング システムが最新であることを確認することで、独自のセキュリティ アクセス権限セットを持つ必要があります。たとえば、Container Engine の最新バージョンが実行されています。理想的には、ホスト層の脆弱性を警告するための監視を設定する必要があります。さらに、「シン OS」を選択すると、不要なパッケージを削除して OS を可能な限り小さくすることで、アプリケーションの展開が高速化され、攻撃対象領域が縮小されます。

基本的に、実稼働環境では、管理者が SSH 経由でホストに接続して構成の変更を適用する必要はありません。代わりに、たとえば Ansible や Chef を使用して、IaC 経由ですべてのホストを管理する方が適切です。この方法では、オーケストレーターだけがコンテナの実行と停止に継続的にアクセスできるようになります。

2. コンテナの脆弱性スキャン

ハッカーがインフラストラクチャにアクセスするために使用する可能性のある潜在的な脅威を検出して修復するには、コンテナまたはホストで定期的に脆弱性スキャンを実行する必要があります。一部のコンテナ レジストリではこの機能が提供されています。イメージがレジストリにプッシュされると、潜在的な脆弱性が自動的にスキャンされます。

予防的なアプローチの 1 つは、「シフトレフト」の考え方を採用して CI パイプラインに脆弱性スキャンを設定することです。つまり、開発サイクルの早い段階でセキュリティを実装します。繰り返しになりますが、Trivy はこれを実現するのに最適な選択肢です。

ローカル ノードでこのようなスキャンを設定しようとしているとします。この場合、すべてのイベントを記録し、複数の CVE (Common Vulnerabilities and Exposures) データベースに対して検証する Wazuh は確実な選択肢です。

3. コンテナレジストリのセキュリティ

コンテナ レジストリは、イメージを保存および配布するための便利で集中的な方法を提供します。組織がレジストリに何千もの画像を保存することはよくあります。レジストリはコンテナ化された環境の動作にとって非常に重要なので、適切に保護する必要があります。したがって、コンテナ レジストリへの不正アクセスを監視し、防止するために時間をかけることを検討する必要があります。

4. Kubernetes クラスターのセキュリティ

もう一つの対策としては、過剰な権限を持つアカウントやサイバー攻撃によるリスクを防ぐために、コンテナ オーケストレーションのセキュリティを強化することが挙げられます。最小権限アクセス モデルに従ってポッド間の通信を保護すると、攻撃による被害が制限されます。この場合に推奨されるツールは、侵入テスト ツールとして機能する Kube Hunter です。そのため、Kubernetes クラスターでさまざまなテストを実行し、より安全にするための手順を開始できます。

Kube Hunter に似た Kubescape にも興味があるかもしれません。 Kubernetes クラスター、YAML ファイル、HELM チャートなどをスキャンして、リスク スコアを提供します。

5. 機密性とセキュリティ

コンテナまたは Dockerfile にはシークレットを含めないでください。 (証明書、パスワード、トークン、API キーなど) また、ソース コード、イメージ、ビルド プロセスにシークレットがハードコードされていることもよくあります。シークレット管理ソリューションを選択すると、安全な集中管理された金庫にシークレットを保存できるようになります。

結論は

これらは、コンテナ化された環境を保護するために実行できるプロアクティブなセキュリティ対策の一部です。これは非常に重要です。Docker は新しい時代を迎えており、組み込みの管理機能とセキュリティ機能はまだ初期段階にあるからです。幸いなことに、この記事で紹介したようなさまざまなツールを使用すれば、コンテナ化された環境に優れたセキュリティを簡単に実装できます。

<<:  考察:海外企業はどのようにしてグローバルなセキュリティと持続可能な事業運営を実現できるのでしょうか?

>>:  Yifupayクラウドネイティブデータ開発およびガバナンスプラットフォームの実践

推薦する

League of Legendsを例に挙げると、Tencent Gamesはどのように運営されているのでしょうか?

テンセントゲームはテンセントの4大オンラインプラットフォームの一つであり、現在中国最大のオンラインゲ...

モバイルアプリ: ユーザーのプライバシーと商業的利益の戦い

テンセントテクノロジーニュース(秦島)北京時間8月4日、海外メディアの報道によると、ますます多くの企...

Kafka の情報はどのように消費されるのでしょうか?

クローラー エンジニアにとって、Kafka は単なるメッセージ キューです。データの書き込み方法と読...

Apple、Apple Arcadeをベースにしたクラウドゲームサービスの構築を検討中

10月18日、海外メディアの報道によると、AppleはNvidiaのGeForce NowやGoog...

物議を醸すモグジエ:変革後の8か月で評価額が10億ドル急上昇

[要約] Mogujie は 2011 年 2 月に開始されました。昨年 Alibaba によってイ...

中国企業のクールカスタマーマーケティング:企業がコストゼロで数千万の露出を獲得できるよう支援

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています導入:これ...

テンセントの邱月鵬氏:クラウドコンピューティングは3つの障壁を乗り越えなければならない

[51CTO.comよりオリジナル記事] 5月21日、昆明の滇池国際会議展示センターで2019年テン...

netcloud-512MB メモリ/12GB ハードディスク/500GB トラフィック/onapp/月額 5 ドル

netcloud は、米国に登録されている VPS クラウド プロバイダーです。同社の Web サイ...

ウェブマスターは外部リンクを投稿する必要がありますか? ウェブサイトの外部リンクはどのように投稿すればよいですか?

5月31日、友人がWeiboにメッセージを投稿しました。「私がまだ外部リンクを投稿していると信じてい...

DYXnet が Dell および VMware と提携し、専用クラウド ホスティング サービスを開始

Dell の技術を採用した VMware パブリック クラウド サービス プロバイダーである Fir...

ウェンタオ:衛星テレビ設置会社の SEO 事例

これは私が最近担当したクライアントです。クライアントが要求するキーワード競争は百度で55万で、それほ...

SaaS、PaaS、IaaS: 3 つの一般的なクラウド コンピューティング モデルを理解する

この記事では、SaaS、PaaS、IaaS という 3 種類のクラウド サービス オファリングについ...

アプリの運用とプロモーションのための 3 つのチャネル: オンライン、オフライン、新しいメディア。

アプリの運用は簡単ではなく、製品の品質、プロモーション チャネル、戦略に依存します。アプリの運用とプ...

ウェブサイト最適化競合分析

新しく引き継いだウェブサイトでも、競合他社の調査でも、SEO データ分析は不可欠です。ウェブサイト分...

微博のビッグアカウントが微信を宣伝し、一夜にしてフォロワーを0から1000人に増やした

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスWeChatマーケティン...