コンテナ セキュリティ: DevOps エンジニアのための 5 つのベスト プラクティス

コンテナ セキュリティ: DevOps エンジニアのための 5 つのベスト プラクティス

コンテナ セキュリティ クラウド ネイティブ アプリケーションがコンテナ環境に関連するサイバー セキュリティの脅威から保護されるようにします。

コンテナ化により、多くの企業や組織はアプリケーションを異なる方法で開発および展開するようになりました。最近のガートナーのレポートによると、2022 年までに世界の組織の 75% 以上がコンテナ化されたアプリケーションを本番環境で実行するようになり、2020 年の 30% 未満から増加しています。ただし、コンテナには多くの利点があるにもかかわらず、適切に保護されていない場合は間違いなくサイバー攻撃にさらされる原因となります。

以前、サイバーセキュリティは「境界」を保護することを意味していました。コンテナは、新たな複雑さの層を導入することで、この概念を時代遅れにします。コンテナ化された環境には追加の抽象化レベルがあり、これらの新しいアプリケーションを解釈、監視、保護するための特定のツールが必要です。

コンテナセキュリティとは何ですか?

コンテナ セキュリティでは、一連のツールと戦略を使用して、アプリケーション、インフラストラクチャ、システム ライブラリ、ランタイムなどに影響を与える潜在的な脅威からコンテナを保護します。コンテナ セキュリティには、コンテナ スタックの安全な環境を実装することが含まれます。これには次のものが含まれます。

  • コンテナイメージ
  • コンテナエンジン
  • コンテナランタイム
  • レジストリ
  • ホスト
  • コーディネーター

ほとんどのソフトウェア専門家は、Docker と Linux カーネルはマルウェアに対して安全であると自動的に想定していますが、この想定は誇張されやすいものです。

コンテナ セキュリティのベスト プラクティス トップ 5

1. ホストとオペレーティングシステムのセキュリティ

コンテナはカーネル リソースを共有しますが、ホスト マシンからの分離を提供します。見落とされがちなのは、この側面により、攻撃者がカーネルの脆弱性を利用してオペレーティング システムを侵害し、ホストへのルート アクセスを取得することが困難になるものの、不可能ではないということです。

コンテナを実行するホストは、基盤となるホスト オペレーティング システムが最新であることを確認することで、独自のセキュリティ アクセス権限セットを持つ必要があります。たとえば、Container Engine の最新バージョンが実行されています。理想的には、ホスト層の脆弱性を警告するための監視を設定する必要があります。さらに、「シン OS」を選択すると、不要なパッケージを削除して OS を可能な限り小さくすることで、アプリケーションの展開が高速化され、攻撃対象領域が縮小されます。

基本的に、実稼働環境では、管理者が SSH 経由でホストに接続して構成の変更を適用する必要はありません。代わりに、たとえば Ansible や Chef を使用して、IaC 経由ですべてのホストを管理する方が適切です。この方法では、オーケストレーターだけがコンテナの実行と停止に継続的にアクセスできるようになります。

2. コンテナの脆弱性スキャン

ハッカーがインフラストラクチャにアクセスするために使用する可能性のある潜在的な脅威を検出して修復するには、コンテナまたはホストで定期的に脆弱性スキャンを実行する必要があります。一部のコンテナ レジストリではこの機能が提供されています。イメージがレジストリにプッシュされると、潜在的な脆弱性が自動的にスキャンされます。

予防的なアプローチの 1 つは、「シフトレフト」の考え方を採用して CI パイプラインに脆弱性スキャンを設定することです。つまり、開発サイクルの早い段階でセキュリティを実装します。繰り返しになりますが、Trivy はこれを実現するのに最適な選択肢です。

ローカル ノードでこのようなスキャンを設定しようとしているとします。この場合、すべてのイベントを記録し、複数の CVE (Common Vulnerabilities and Exposures) データベースに対して検証する Wazuh は確実な選択肢です。

3. コンテナレジストリのセキュリティ

コンテナ レジストリは、イメージを保存および配布するための便利で集中的な方法を提供します。組織がレジストリに何千もの画像を保存することはよくあります。レジストリはコンテナ化された環境の動作にとって非常に重要なので、適切に保護する必要があります。したがって、コンテナ レジストリへの不正アクセスを監視し、防止するために時間をかけることを検討する必要があります。

4. Kubernetes クラスターのセキュリティ

もう一つの対策としては、過剰な権限を持つアカウントやサイバー攻撃によるリスクを防ぐために、コンテナ オーケストレーションのセキュリティを強化することが挙げられます。最小権限アクセス モデルに従ってポッド間の通信を保護すると、攻撃による被害が制限されます。この場合に推奨されるツールは、侵入テスト ツールとして機能する Kube Hunter です。そのため、Kubernetes クラスターでさまざまなテストを実行し、より安全にするための手順を開始できます。

Kube Hunter に似た Kubescape にも興味があるかもしれません。 Kubernetes クラスター、YAML ファイル、HELM チャートなどをスキャンして、リスク スコアを提供します。

5. 機密性とセキュリティ

コンテナまたは Dockerfile にはシークレットを含めないでください。 (証明書、パスワード、トークン、API キーなど) また、ソース コード、イメージ、ビルド プロセスにシークレットがハードコードされていることもよくあります。シークレット管理ソリューションを選択すると、安全な集中管理された金庫にシークレットを保存できるようになります。

結論は

これらは、コンテナ化された環境を保護するために実行できるプロアクティブなセキュリティ対策の一部です。これは非常に重要です。Docker は新しい時代を迎えており、組み込みの管理機能とセキュリティ機能はまだ初期段階にあるからです。幸いなことに、この記事で紹介したようなさまざまなツールを使用すれば、コンテナ化された環境に優れたセキュリティを簡単に実装できます。

<<:  考察:海外企業はどのようにしてグローバルなセキュリティと持続可能な事業運営を実現できるのでしょうか?

>>:  Yifupayクラウドネイティブデータ開発およびガバナンスプラットフォームの実践

推薦する

良いロゴをデザインするにはどうすればいいですか? LOGO Design Network なら、ロゴデザインはもう難しくありません!

ロゴは、ユーザーにブランドを紹介する最良の方法です。ロゴを通じて、ユーザーは会社とブランドをすぐに識...

vaicdn: 登録不要/実名CDN、高速、広帯域幅、高防御、攻撃によるレイテンシへの影響なし

vaicdn はどのようにして登録や実名登録なしで高速かつ防御力の高い CDN を提供するのでしょう...

オンラインプロモーションチャネルと外部リンク構築の分析

オンラインプロモーションチャネルの構築とウェブサイトの外部リンクは、具体的には2つの側面に分けて分析...

クラウドサービスと仮想化データセンターの可視化について(第2部)

仮想化データセンター向けオーバーレイネットワーク仮想拡張LAN (VXLAN)物理ネットワークの現在...

クモがウェブサイトの橋を架けるようになる

スパイダーは最適化担当者にとっての「マスコット」のようなものであり、スパイダーを引き付けて Web ...

hncloud: 香港高帯域幅サーバー評価、3つのネットワーク回線が最適化され、最大1Gbpsの帯域幅

hncloudの香港データセンターは、オリジナルのCN2サーバーをベースに、最小帯域幅50M(トラフ...

ウェブサイト運営の不満の根本的な原因は、ユーザーの結束力の欠如である

ウェブサイトの収益性は、ウェブマスターがウェブサイトを運営する上で常に基盤となってきました。ウェブサ...

Alipayの今後のオンラインとオフラインの統合により、Taobao加盟店の普及率が上昇する

2012年10月18日はAlipay設立9周年であり、Alipayメディア共有デーでもあります。 A...

ウェブマスターにとって暗い日となった10月20日についての短い議論

私は論文ウェブサイトを作成し、2009年8月6日にBaiduにインデックスされました。その後、ウェブ...

Tencent Cloudがオンライン教育の進化を支援

[51CTO.com オリジナル記事] 6月7日と8日の「大学入試戦争」が全国を席巻した。候補者は全...

最近の百度Kステーション事件のジレンマにウェブマスターがどのように対処すべきかについての簡単な議論

6月28日の事件は再びエスカレートし、7月18日に事件が勃発した。ウェブマスターの忍耐は限界に達して...

B駅のトラフィック傾向の分析

導入Bilibiliの人気トレンドは常に他のプラットフォームとは異なり、独自の2次元、妖怪、面白い属...

タオバオの新規店舗のスタートラインで勝つ方法

毎日何千もの店舗がタオバオに参入し、毎日何千もの店舗が閉店していると言われています。最近、私の周りの...

Baiduが毎日更新してより多くの情報を提供する方法

Baiduについてのみ話します - 他のトピックについては後で議論します最近、ゴミステーションをいく...

SEO担当者が作業効率を向上させるために必須のツール

SEO 作業では、効率が非常に重要です。1 日にどれだけ作業できるかによって、Web サイトの収益が...