ニュース
コンテナ、Kubernetesの脆弱性スキャン、3つの重点ポイント:セキュリティ、エンジニアは後回しにすることが多いが、CIOは最優先
コンテナ化とKubernetesの初心者向けに、コンテナイメージのスキャン、コンテナファイルのスキャン、Kubernetesマニフェストのスキャンについて開発チームが知っておくべきことを説明する。
組織が新しいテクノロジーを導入する際は、概念実証の作業と検証を優先し、セキュリティの考慮を後回しにすることが多いということを、ソフトウェアエンジニアは知っている。しかし、シフトレフトへの動きが進むとともに、最高情報責任者(CIO)や最高技術責任者(CTO)がセキュリティを最優先するようになっているため、エンジニアは開発の初期段階からセキュリティを考慮する必要がある。
開発にコンテナが関係する場合、開発者とテスト担当者は次の3つの主要な脆弱(ぜいじゃく)性スキャンに重点を置く必要がある。
- コンテナイメージのスキャン
- コンテナファイルのスキャン
- Kubernetesマニフェストのスキャン
これらのスキャンを正しく実装すれば、アプリケーションレベルでセキュリティのリスクを軽減できる。
コンテナは仮想化されたOSだ。そのため、フットプリントは極めて小さく、数秒で作成できる。エンジニアは、Dockerの「Docker Hub」にアクセスして、「Ubuntu」や「Nginx」などの公式リポジトリからコンテナイメージを取り込むだけだ。Kubernetesを使用してコンテナイメージのオーケストレーションを行い、Kubernetesマニフェストを使ってデプロイする。
このプロセスを進める中で、次のような重要な疑問を幾つか問い掛ける必要がある。
- セキュリティのベストプラクティスを使用したか
- コンテナイメージに脆弱性はあるか
- コンテナイメージをスキャンする場合、どのデータベースを使用しているか。米国のNational Vulnerability Database(NVD)のデータベースなのか、そしてThe President's National Infrastructure Advisory Council(NIAC)の共通脆弱性評価システム(CVSS)を利用しているのか
- Kubernetesマニフェストは、セキュリティチームがPolicy-as-Codeの観点から想定する方法でフォーマットおよび構築されているか
1.コンテナイメージのスキャン
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
監査ログによるKubernetesセキュリティモニタリング 詳解
クラウド/クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第4回は、人気が高まるKubernetes環境の監査ログによるセキュリティモニタリングについて解説する。
400のコンテナをAWSで稼働、オイシックス・ラ・大地におけるクラウドセキュリティの進め方
先進企業はクラウドネイティブなITインフラを保護するためにどのような取り組みを推進しているのか。@ITが主催した「ITmedia Cloud Native Week 2023春」に登壇したオイシックス・ラ・大地の岡本真一氏が、同社におけるセキュリティ実践の取り組みとポイントを語った。
クラウドネイティブセキュリティ知らんけど、という人必見!コンテナ/Kubernetesセキュリティツールカタログ
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、開発から運用まで、コンテナ/Kubernetesのセキュリティを強化するツールをカタログで紹介します。