(旧 Docker Trusted Registry)
コンテナイメージを安全に保管・共有・管理できるプライベートレジストリ
Mirantis Secure Registry
Mirantis Secure Registry(MSR:旧 Docker Trusted Registry)は、エンタープライズ級のプライベートなレジストリで、コンテナイメージを安全に保管・共有・管理できるソリューションです。
MKE(旧UCP)と共に使用でき、Mirantis Container Cloudにも含まれています。
MSRによって次のことが可能になります。
また組み込みのセキュリティ機能により、アプリケーションの来歴、コンテンツ、信頼性を検証します。また定期的に脆弱性のチェックを行うので既存イメージも安全に管理できます。自動化された運用やCI/CDとの統合によって、アプリケーションのテストとデリバリを加速させます。
アクセス制御されたリポジトリによって、アプリケーションを共有するユーザを決定したり、新規アプリケーションを作成できる権限を付与できます。
また、 既存のディレクトリサービスを統合することで、粒度の高い組織のアクセスポリシーをMSRにそのまま適用することができます。これにより、明確なアクセス権限の境界線を保ちながらもDevOpsの協調性を高めることができます。
組織が使用しているソフトウェアやライブラリをスキャンし、セキュリティ上の既知の脅威にさらされていないかを確認します。この機能によりイメージはバイナリレベルでスキャンされ、定期的に更新されるCVE脆弱性データベースと相関されます。
MSRは、NotaryのTUF仕様の実装(Docker Content Trustと同じ技術)を使用して、イメージのコンテンツとパブリッシャー両方に、デジタル署名と検証を行います。
開発者やCIツールは署名を適用することで、下流のユーザや自動化ツールがイメージの実行前に、その信頼性を検証可能にできます。
デプロイ前にイメージの適切なデジタル署名を要求することで、コンテナの来歴を検証できます。ユーザは、未知のコンテナイメージを使用したり、ベースレイヤー上に、未知のソースからコンテナを構成できないようになっています。
分散型チームや本番環境では、複数の場所でイメージを利用可能にする必要があります。MSRではリポジトリのミラーリングにより必要な場所にイメージを配置でき、イメージのキャッシュ機能によりネットワーク帯域を節約することができます。
作成したすべてのイメージを永遠に保存しておくことは得策ではありません。「最終更新日」や「保管したい最近のイメージ数」などのセキュリティポリシーに基づいて、自動的にイメージを削除します。
MSRでは、コンテンツ管理者はポリシーベースのイメージプロモーションパイプラインを設定できます。これは認定済みイメージのみを自動的に開発者のレポジトリに移動したり、本番環境で使用されるよう制御できます。
例えば、「脆弱性スキャンによってイメージのメジャーレベルの脆弱性が0であれば、ターゲットにプロモーションする」というものです。これにより、イメージの出入りを自動的に制限するセキュリティ制御を強制し、認定済みコンテンツのみを開発者が利用できるようにしつつ、開発・配布パイプラインを簡略化します。