コンテナセキュリティのベストプラクティスと一般的な脅威

この記事では、コンテナ セキュリティの課題について学習し、イメージやハーバーなどの保護など、コンテナ セキュリティの主要なベスト プラクティスを理解します。

コンテナとは何ですか?

• コンテナは、単一の制御されたホスト上で複数の分離された Linux システム (コンテナ) を実行するためのオペレーティング システム レベルの仮想化方法であり、複数の分離されたユーザー スペース インスタンスとリソース管理機能を可能にします。
• コンテナーは、基盤となるオペレーティング システムからアプリケーションを抽象化して、開発を迅速化し、展開を容易にします。

コンテナ ソリューションにはどのような種類がありますか?

• LXC (Linux コンテナ)
• ドッカー
• ポッドマン
• CoreOS アプリC
• Solaris ゾーン
• FreeBSD の Jail
• AIX ワークロード パーティション
• Kubernetes (技術的にはオーケストレーションおよびスケジューリング プラットフォームですが、これは単なる参考です)

コンテナはどれくらい前から存在していますか?

コンテナ テクノロジーは 10 年以上前から存在しており、最近ではクラウド コンピューティングの台頭により人気が爆発的に高まっています。

仮想マシンとコンテナの違いは何ですか?

仮想マシン:

• カーネルの別のコピーを実行する
• 仮想マシンエミュレーションを介してホストと通信する

容器：

• 同じカーネルを共有する
• 標準システムコールを介してホストと通信する

コンテナセキュリティの利点

コンテナのセキュリティ上の利点は何ですか?

（１）アプリケーションの分離：

• コンテナを使用すると、コンテナ内のプロセスを非ルート ユーザーとして実行できるため、悪意のあるコードやユーザーがアプリケーションを悪用するリスクが軽減されます。
• コンテナーは、他のコンテナーやホスト システムから分離された独立したファイル システムとネットワーク スタックを備えた独立したランタイム環境として実行されます。
• コンテナを使用すると、同じホスト上で実行されているアプリケーションを相互に分離し、コンテナ間で交換できるのは事前に構成されたポートとファイルのみになります。

（２）攻撃対象領域を減らす

• 適切に構成されたコンテナには、アプリケーションの実行に必要な依存関係 (ライブラリと追加ソフトウェア) のみが含まれるため、脆弱性の攻撃対象領域を減らすことができます。
• コンテナはアプリケーションの依存関係と統合されているため、プログラムとパッチ間の互換性を検証する作業を最小限に抑え、脆弱性の修正をより適切かつ迅速に行うことができます。
• コンテナ テクノロジーを基盤となるホスト強化ツールと組み合わせることで、防御力をさらに高めることができます。

コンテナのセキュリティリスク

どのようなコンテナ セキュリティ リスクに注意する必要がありますか?

（１）複雑さの増大：

• コンテナの複雑さと拡張性により、意図したよりも多くの情報が公開される可能性があります。

（２）不完全な隔離

• このテクノロジーは仮想マシン テクノロジーのようにまだ分離されておらず、基盤となるカーネルとオペレーティング システムをホスト システムと共有します。システムカーネルレベルに脆弱性がある場合、ホスト上で実行されているコンテナに侵入する方法が提供される可能性があります。
• コンテナにはユーザー空間の分離がないため、コンテナ内で root として実行されるプロセスはホスト システムでも root として実行されます。
• 物理マシン ホストや仮想マシン ホストなどのコンテナーには追加のソフトウェアやライブラリが追加される可能性があり、脆弱性のリスクが増大する可能性があります。
• 悪意のあるコードがコンテナから抜け出し、ホスト システムに影響を与える可能性があります。

コンテナセキュリティの徹底防御

コンテナに多層防御プラクティスを適用する場合、どのように考えればよいでしょうか?

STRIDEにマッピングされたコンテナの脅威

脅威モデル化についてよく知らない人のために説明すると、次のようになります。

アプリケーションのセキュリティに影響するすべての情報の構造化された表現。本質的には、セキュリティの観点から見たアプリケーションとその環境のビューです。

STRIDE は人気の脅威モデリング フレームワークです。ここでは、このフレームワークにマッピングされたコンテナーの脅威の非網羅的なリストを紹介します。

STRIDE 評価システムの詳細設計。これはシステムをその場でモデル化し、主にシステム エンティティ、イベント、およびシステム境界を識別するために使用されます。

以下にいくつか例を挙げます。

要約する

コンテナ セキュリティの課題に関するこの視点が役に立ち、何か新しいことを学んでいただければ幸いです。この投稿は、脅威とベストプラクティスを網羅的にリストすることを目的としているのではなく、一般的な視点と方向性を提供することを目的としています。