5G の 3 つの主要なアプリケーション シナリオは、eMBB (拡張モバイル ブロードバンド)、uRLLC (低遅延、高信頼性通信)、mMTC (大規模マシン タイプ通信) ですが、垂直産業の主なアプリケーション シナリオは mMTC と uRLLC になります。垂直産業は広く使用されており、多くのシナリオで高効率で軽量な通信が必要です。従来の集中型コア ネットワークでは、要件を満たすことができなくなりました。そのため、3GPP は従来のコア ネットワークを 5G 時代のサービス ベース アーキテクチャ (SBA) に設計しました。コアネットワークをベースとした 5G クラウドネイティブ アプリケーションは、サービス指向になったことで、拡張性、高い拡張性、シンプルな通話などの利点をもたらしました。これらは分散技術の典型的な例です。実際の使用においては、サービスを運ぶ実際の物理的なキャリアは、軽量、コンパクト、拡張が容易であることが求められます。現時点では、ホストと仮想化テクノロジーがあまりにも面倒です。コンテナ テクノロジーは、名前空間を使用してオペレーティング システム内で分離を確立し、より少ないリソースで複雑で多様なニーズに対応します。このような状況の中で、Docker ベースのコンテナ技術が登場し、広く使用されるようになりました。 コンテナのリスク コンテナによってもたらされる技術的な利点は比類のないものですが、新たなセキュリティ リスクも生じます。コンテナのDev&Opsライフサイクルの観点から見ると、コンテナは作成された瞬間からリスクに直面しており、イメージの読み込み、コンテナの操作、データ転送などの運用上のリスクも増えています。 図1: コンテナクラウド特有のリスク コンテナイメージには幅広い選択肢と高い自由度があり、多くのリスクを伴います。 2017 年の統計 (https://www.federacy.com/blog/docker-image-vulnerability-research/ の図 2) によると、公式 Docker コミュニティが提供するイメージの 10% に高リスクの脆弱性が含まれており、最も一般的な Ubuntu イメージの中でも、高リスクの脆弱性を含むイメージがイメージ全体の 25% 以上を占めています。これは公式チャンネルでも同様であり、他の非公式チャンネルからの画像の品質を示しています。さらに、近年のビットコインの普及により、攻撃者の利益追求行為がコンテナ分野にも広がっています。 2018 年 6 月、セキュリティ ベンダーの Fortinet と Kromtech は、Docker Hub 上で暗号通貨マイニング マルウェア用の Docker イメージを 17 個発見しました。これらのイメージは少なくとも 500 万回ダウンロードされており、防御が極めて困難でした。マイニング プログラムを備えたこれらの悪意のあるコードがコンテナ クラウドに入ると、それらは拡散し、マイニングのためにクラウド コンピューティングのパワーを消費し、ネットワーク帯域幅とスループットに影響を与え、クラウド アプリケーションの正常な動作を脅かします。 図2: 公式コミュニティイメージの脆弱性統計 コンテナをロードするときに、Docker イメージ リポジトリはプレーン テキストでイメージをダウンロードする方法を提供するため、中間者攻撃が容易になります。同時に、不適切な構成によりイメージ リポジトリのポートがインターネットに公開され、攻撃者がマルウェアを含むイメージをアップロードして企業に災害をもたらす可能性があります。 コンテナが実行中の場合、分離は仮想マシンほど厳密ではなく、/sys /dev などの一部のシステム パスは他のコンテナと共有されます。ホストのファイル パスが Docker パスとユニオン マウントされている場合、悪意のあるコードはコンテナーに「侵入」してホストを攻撃し、その後他のアプリケーションを攻撃する機会があります。コンテナは、Docker デーモンに新しいコンテナを送信し、ホストと共同でファイルをマウントして別の形式の「侵入」攻撃を実行するなど、イントラネット プレーンを介して他のコンテナへの攻撃を開始できます。コンテナが破棄されても、対応するマウントされたボリューム データはホスト上に残ります。積極的に削除しないと、データ漏洩が発生します。 コンテナのセキュリティ保護 上記のリスクはコンテナ クラウドに特有のものであるため、一般的なクラウド セキュリティ保護に加えて、コンテナ クラウドでも上記のリスクに対して特別な予防策を講じる必要があります。 ZTE は業界のベストプラクティスを組み合わせ、Dev&Ops にセキュリティを統合し、コンテナ クラウドのリスクを最小限に抑えるためのコンテナ クラウド セキュリティの 3 段階の防御ソリューションを提案します。 図3: コンテナのセキュリティ保護 第一防衛線:問題の根本を突き止める ZTEは、サプライチェーンにおける「次元削減攻撃」のリスクに対応するため、専門チームを組織し、自社開発のセキュリティイメージ(ベースライン)を構築しました。 CI/CD プロセスでは、イメージの脆弱性、悪意のあるコードのスキャン、アクセス条件が統合されます。脆弱性が解決されていない場合や非準拠の構成がある場合は、基本イメージに基づいて改良されたアプリケーション イメージを送信できないため、ソースからの悪意のあるコードの導入が排除されます。 ZTE のコンテナ クラウドが提供するサービスはすべて安全なイメージ ソースから提供されるため、イメージによってもたらされる「自然な」リスクが最小限に抑えられます。これは、コンテナ クラウド固有のセキュリティの最も重要な部分です。クラウド ユーザーは、これらのイメージを直接使用して、脆弱性の導入を減らすこともできます。 第二の防衛線: 静的分析 コンテナ クラウドとサードパーティ アプリケーションによって制御不能なイメージが持ち込まれる可能性があることを考慮して、ZTE コンテナ クラウドは CI/CD で使用される脆弱性検出機能とコンプライアンス スキャン機能をコンテナ クラウドに導入し、コンテナ クラウドがイメージ リポジトリ内のすべてのイメージをチェックし、リスクのあるイメージの操作をブロックできるようにします。コンテナの実行に伴うリスクも発見できます。ホストおよびストレージ スキャンでは、ボリュームとコンテナー間の関連性を検出し、ボリュームをクリアする操作を提供して、データ漏洩や「侵入」攻撃を防止できます。第 2 の防御線は、悪意のあるコードがオペレーティング環境に侵入する経路を遮断し、特にエッジ クラウドで使用するためにサードパーティに公開されている場合はイメージ リポジトリも保護されるため、さらに重要になります。 第三の防衛線: 動的監視 2 つの防御ラインによる正確な攻撃を受けると、従来のマルウェアは逃げ場がありませんが、網をすり抜けたマルウェア、特に 0day を悪用する APT (Advanced Persistent Threat) 攻撃の一部は、コンテナ クラウドで実行される可能性があります。このとき、第3防衛線の動的監視機能を使用する必要があります。 3 番目の防御線は、既知の悪意のあるトラフィックの侵入をブロックするために、東西仮想ファイアウォールと南北アプリケーション ファイアウォールの機能を提供します。また、通信マトリックスに基づいて必須アクセス制御ルールを構成し、必要な通信ポート トラフィックのみを許可することもできます。動的監視機能は、コンテナに出入りするトラフィックやアクセスされたファイルを常に監視し、自己学習方式でコンテナの動作をプロファイルします。コンテナの出入りに異常があった場合、動的な検査と監視によりコンテナに警告、遮断、または隔離が行われます。クラウド ユーザーは、ほとんど構成なしで動的監視によってもたらされるセキュリティと利便性を利用できます。これは、大規模なコンテナ クラウドの運用と保守にとって特に重要です。 要約する 3 つの防御ラインは互いに補完し合い、コンテナ クラウド特有のリスクを正確にターゲットにします。仮想マシン コンテナやネイティブ コンテナなど、さまざまなシナリオで使用でき、コンテナ クラウドのセキュリティを完全に確保できます。 5G垂直産業の発展に伴い、コンテナクラウド、特にエッジクラウドは中小企業に確実に支持され、3つの防御線も垂直産業アプリケーションでその価値を発揮するでしょう。 ZTE は常にセキュリティを自社の基盤に組み込むことに重点を置いており、コンテナ クラウド セキュリティはこの概念のもう一つの最良の証拠です。 |
<<: クラウドコンピューティングの発展と比較して、エッジコンピューティングの機会が生まれている
>>: キングソフトクラウドのクラウドネイティブ戦略が明確化_クラウドコンピューティング月刊第97号
トレーニングの目的: 今日のインターネットの急速な発展により、大量の高品質のトラフィックをウェブサイ...
百度が人人傘下の諾米を買収してから4カ月後、諾米は初の人事調整を行った。南都の記者は、Nuomi.c...
ウェブマスターは皆、SEO と PPC が SEM を構成することを知っています。ほとんどのウェブマ...
クラウド コンピューティング最適化サービス プロバイダーの Virtana の委託を受け、調査会社 ...
グロースハッキングは、過去 2 年間で非常に人気の職業です。最初は海外から導入され、その後、さまざま...
著者は以前、「企業ウェブサイトの最適化におけるいくつかの重要なポイントの簡単な分析」という記事を書い...
host1plus.com 仮想ホストのサーバーは 1000M ポートを使用します。cPanel ま...
2011年、世界中のインターネット利用者数は8%増加した(写真提供:テンセントテクノロジー)テンセン...
本日、新疆サッカー協会のリーダーシップ交代とスマート青少年トレーニング開始会議において、SAP は新...
Dreamhost の VPS と Dreamhost のクラウドを混同する人がいます。どちらも同じ...
数日前、私は「企業ウェブサイトのマルチキーワードSEOは2013年に破滅する」というタイトルの記事を...
Smarthost は長い歴史を持つアメリカのホスティング会社です。1996 年に仮想ホストの運用を...
著者注: 今日、クラウド コンピューティング ベンダーとその ISV、SI、チャネル、その他のパート...
ご存知のように、多くの最適化の専門家を含む多くの初心者最適化担当者は、最適化の過程でウェブサイトの降...
IDC Review Network (idcps.com) は 5 月 30 日に次のように報告し...