コンテナのセキュリティを考えてみる

コンテナのセキュリティについて考えていますか？ 従来のアプリケーションセキュリティは、コンテナの導入を目的としたものではありません。 コンテナを保護するための戦略とはどんなものでしょうか？

コンテナのセキュリティについて考えていますか？ 多分あなたがすべきほど多くはありません。

コンテナフレームワークは、オペレーティング・システムのコンポーネント、アプリケーション、およびすべての依存関係をイメージファイル内のレイヤーにパッケージ化することで、展開時間を簡素化および短縮できるため、非常に人気があります。 それでも、コンテナを保護するというテーマについては、ほとんど議論されていません。

従来のセキュリティの手法と技術は、コンテナ化された本番環境向けではないため、アプリケーション・セキュリティ・イニシアチブに課題を残す可能性があります。つまり、組織は最も一般的なコンテナ・セキュリティの課題を検討することが重要になります。

• 隔離の欠如 攻撃者の到達範囲が、公開されたVMに制限されている仮想マシン（VM）とは異なり、公開されたコンテナはホストOSの要素を共有します。これは、コンテナの脆弱性が公開されると、攻撃者が他の環境にアクセスできることを意味します。
• 実行時の複雑性 動的コンテナ環境のアプリケーションは、ホストを呼び出して、共有ストレージ・システム上のリソースへのアクセスを要求できます。攻撃者がコンテナ化されたアプリケーションを侵害した場合、攻撃者は共有システム上の機密情報にアクセスできるということになります。
• 脆弱性管理 コンテナ・イメージの各レイヤーは、ソフトウェアの脆弱性を潜む可能性のあるアタック・サーフェスです。一部のコンテナ・クラスタは1万以上のコンテナ・イメージの規模に達しているため、これらのリスクが存在する場所を見つけることは、干し草の山から針を見つけるようなものです。

コンテナのセキュリティの課題に対するソリューション

コンテナ・クラスタを保護することは困難に思えるかもしれませんが、セキュリティチームが適切なツール、プラクティス、戦略を組み合わせることでこれらの課題に対処できます。 たとえば、コンテナクラスタが小さい組織は、手動のレビューを実施して、環境で最適に機能するものを判断できます。 また、どの組織も脆弱性管理の恩恵を受けて、コンテナ内のすべてのコンポーネントを識別および追跡できます。

ebook「4 Strategies for Securing Container Deployments (コンテナの導入を保護するための4つの戦略)」では、コンテナを保護するための一般的なアプローチとテクノロジーについて概説しています。 ニーズに最適なコンテナセキュリティ戦略を選択する方法の説明が記載されたこのeBookは、コンテナ・セキュリティへのアプローチを開発または改善したい組織にとって優れた出発点です。

eBookをダウンロードする