InfraCloudが、アプリケーションコンテナのセキュリティを確保するための10のベストプラクティスを解説した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
クラウド/DevOpsソフトウェアやサービスを手掛けるInfraCloudは2020年7月30日(米国時間)、アプリケーションコンテナのセキュリティを確保し、コンテナ化されたワークロードのセキュリティリスクを軽減するための10のベストプラクティスを公式ブログで解説した。
概要は以下の通り。
コンテナイメージを作成する際は、多くの場合、よく知られているプライベートまたはパブリックレジストリから入手したイメージを、ベースイメージとして使用する。だが、そうしたイメージが作られる過程で何者かがバックドアを仕込む可能性がある。このため、以下の点に留意する必要がある。
ベースイメージにインストールされるパッケージも、ベースイメージの場合と同じ理由から、検証された信頼できるソースから入手する必要がある。
攻撃対象領域の大きさは、イメージにインストールされるパッケージとライブラリの数として捉えることができる。これらの数が少ないほど、脆弱(ぜいじゃく)性が存在する可能性も小さくなる。このため、イメージは、アプリケーションのランタイム要件を満たす最小サイズに抑える。1つのアプリケーションコンテナでアプリケーションが1つだけ動作するのが望ましい。
シークレットはイメージやDockerfileから全て排除する。シークレットには、SSL証明書、パスワード、トークン、APIキーなどがある。これらは外部に置き、コンテナオーケストレーションエンジンや外部のシークレットマネージャによって、安全にマウントされなければならない。シークレットの保護を支援するツールやサービスとして、「Hashicorp Vault」「AWS Secrets Manager」「Kubernetes Secrets」「Docker Secrets Management」「CyberArk」などがある。
企業は多くの場合、プロプライエタリなソフトウェアやライブラリを含む独自のベースイメージを使っており、これらを公開しようとしない。こうしたイメージは、安全な信頼できるレジストリでホストし、不正アクセスを防止する。また、TLS証明書と信頼できるルートCAを使用し、強力な認証を実装して、中間者攻撃を防ぐ。
Copyright © ITmedia, Inc. All Rights Reserved.