Dockerが、ユーザー名前空間サポートなどのセキュリティ強化を発表:DockerCon EU 2015
Dockerは2015年11月16日(現地時間)、スペイン・バルセロナで開催中のDockerCon EU 2015で、Dockerコンテナのセキュリティ向上に向けた3つの発表を行った。3つとは、コンテナの動作にルート権限を不要とするユーザー名前空間のサポート、コンテナ署名におけるハードウエアの活用、Docker HubのOfficial Repositoriesを対象としたスキャンおよび脆弱性検知の実施。
Dockerは2015年11月16日(現地時間)、スペイン・バルセロナで開催中のDockerCon EU 2015で、Dockerコンテナのセキュリティ向上に向けた3つの発表を行った。3つとは、コンテナの動作にルート権限を不要とするユーザー名前空間のサポート、コンテナ署名におけるハードウエアの活用、Docker HubのOfficial Repositoriesを対象としたスキャンおよび脆弱性検知の実施。同社は、ソフトウエア開発者のワークフローを妨げない形で、セキュリティの強化を進めていくと、基調講演で宣言した。
コンテナは、ホストのルート権限が不要に
Dockerではこれまで、Dockerデーモンとコンテナの双方で、ホストOSのルート権限が必要だった。このため、コンテナからOSに対して、あらゆる操作ができるようになっていた。また、テナント間の権限分離もできていなかった。これが1.9 Experimentalリリースでは、Linuxの「user namespace(ユーザー名前空間)」に対応、各コンテナに閉じた特権をユーザーグループに割り当てられるようになった。
コンテナイメージのハードウエア署名
Dockerは、2015年8月、バージョン1.8における「Docker Content Trust」の実装を発表した。Notaryというツールを使い、オフラインでの署名手段を提供することで、Dockerイメージの発行者の真正性、イメージの一貫性を確認できるようになっていた。
今回Dockerが発表したのは、このDocker Content Trustにおけるハードウエア署名。Yubicoとの提携により、YubiKeyをサポート、YubiKeyに対するタッチで、コード署名が実行できるようになった。
Dockerイメージのスキャン/脆弱性検出サービス
また、Dockerは、Official Repositoriesに登録されたISVのDockerイメージを対象として、スキャンおよび脆弱性検出のサービスを提供すると発表した。これまで、ユーザーは各ISVの提供する情報を信用するしかなかった。だが、この新サービスによって、コンテナイメージに何が含まれているのかに関する詳細な情報が得られるようになるという。また、Official RepositoriesはDocker Content Trustに対応しているため、Dockerイメージの発行者の真正性、イメージの一貫性を確認できるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 実業務でも使えるか? 今アツいDocker運用管理製品/サービス15選まとめ
数多く台頭しているDockerの運用管理に関する製品/サービスの特長、使い方を徹底解説する特集。初回は、紹介するDocker運用管理製品/サービスの概要と比較表を提示する。 - OSSの管理ツールDocker Machine、Swarm、Compose、Kitematicの概要とインストール、基本的な使い方
数多く台頭しているDockerの運用管理に関する製品/サービスの特長、使い方を徹底解説する特集。今回は、Docker社が開発しているDocker Machine、Docker Swarm、Docker Compose、Docker Kitematicの概要と使い方を解説する。 - Docker管理ツール、Kubernetes、etcd、flannel、cAdvisorの概要とインストール、基本的な使い方
数多く台頭しているDockerの運用管理に関する製品/サービスの特長、使い方を徹底解説する特集。今回は、グーグルが主導で開発しているOSSであるKubernetes、flannel、cAdvisorの概要や主な機能、環境構築方法、使い方について。 - コンテナー、ネットワークへの取り込み目立つ:OpenStack12番目のリリース、Libertyの技術的注目ポイントは?
OpenStack Foundationは2015年10月15日(米国時間)、OpenStackの12番目のリリース、OpenStack Libertyの提供開始を発表した。その技術的なハイライトを、OpenStackコアデベロッパーである元木顕弘氏の監修に基づき紹介する。 - Docker代替のコンテナーランタイム「Rocket」をCoreOSが公開
CoreOSがDocker代替のシンプルなコンテナーランタイムを公開。Dockerの当初の目的であるシンプルなコンテナーを目指すプロトタイプだ。