検索
ニュース

コンテナを保護するための10のベストプラクティス、InfraCloudが解説コンテナ化されたワークロードのセキュリティリスクを軽減

InfraCloudが、アプリケーションコンテナのセキュリティを確保するための10のベストプラクティスを解説した。

Share
Tweet
LINE
Hatena

 クラウド/DevOpsソフトウェアやサービスを手掛けるInfraCloudは2020年7月30日(米国時間)、アプリケーションコンテナのセキュリティを確保し、コンテナ化されたワークロードのセキュリティリスクを軽減するための10のベストプラクティスを公式ブログで解説した。

 概要は以下の通り。

1. 信頼できるリポジトリから入手したベースイメージを使用する

 コンテナイメージを作成する際は、多くの場合、よく知られているプライベートまたはパブリックレジストリから入手したイメージを、ベースイメージとして使用する。だが、そうしたイメージが作られる過程で何者かがバックドアを仕込む可能性がある。このため、以下の点に留意する必要がある。

  • コンテナイメージの作成時には、知名度が高く、信頼できるパブリッシャーの堅固なレジストリからベースイメージを入手する
  • 最新のセキュリティ修正プログラムやパッチを組み込んで頻繁に公開されるイメージを選ぶ
  • 署名やラベルが付けられた(「Notary」や類似のツールによって)イメージを使い、プルの過程でイメージの正当性を確認し、中間者攻撃を阻止する

2. 検証されたパッケージをインストールする

 ベースイメージにインストールされるパッケージも、ベースイメージの場合と同じ理由から、検証された信頼できるソースから入手する必要がある。

3. イメージの攻撃対象領域を最小化する

 攻撃対象領域の大きさは、イメージにインストールされるパッケージとライブラリの数として捉えることができる。これらの数が少ないほど、脆弱(ぜいじゃく)性が存在する可能性も小さくなる。このため、イメージは、アプリケーションのランタイム要件を満たす最小サイズに抑える。1つのアプリケーションコンテナでアプリケーションが1つだけ動作するのが望ましい。

  • 不要なツールやソフトウェアを削除する。その中にはパッケージマネージャ(yum、aptなど)、ネットワークツールおよびクライアント、イメージのシェル、netcat(リバースシェルの作成に使える)などが含まれる
  • マルチステージDockerfileを使い、本番イメージからソフトウェアビルドコンポーネントをなくす
  • コンテナでは、不要なネットワークポートやソケットを開放したり、不要なサービス(SSHデーモンなど)を実行したりしない
  • ベースイメージにはフル機能のOSイメージではなく、アルパインイメージやスクラッチイメージ、コンテナ最適化OSを選ぶ

4. シークレットをイメージに組み込まない

 シークレットはイメージやDockerfileから全て排除する。シークレットには、SSL証明書、パスワード、トークン、APIキーなどがある。これらは外部に置き、コンテナオーケストレーションエンジンや外部のシークレットマネージャによって、安全にマウントされなければならない。シークレットの保護を支援するツールやサービスとして、「Hashicorp Vault」「AWS Secrets Manager」「Kubernetes Secrets」「Docker Secrets Management」「CyberArk」などがある。

5. 安全なプライベートまたはパブリックレジストリを使う

 企業は多くの場合、プロプライエタリなソフトウェアやライブラリを含む独自のベースイメージを使っており、これらを公開しようとしない。こうしたイメージは、安全な信頼できるレジストリでホストし、不正アクセスを防止する。また、TLS証明書と信頼できるルートCAを使用し、強力な認証を実装して、中間者攻撃を防ぐ。

6. コンテナでアプリケーションを実行するのに特権またはrootユーザーを使わない

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  3. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  4. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  5. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  8. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  9. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  10. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
ページトップに戻る