[和訳]Dockerコンテナを利用すればあなたのソフトウェアはより安全になる #docker
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本稿は Your Software Is Safer In Docker Containers(2016/8/23) の和訳記事です。
Dockerのセキュリティ哲学は「初期値でも高セキュリティ」です。 それが意味するものは、全てのアプリケーションのためにセキュリティはプラットフォーム上で本来備わっているものであり、それらがデプロイされ、設定され、統合されるソリューション個別に対して必要とするものではないと言うことです。
現在Docker Engineは、Linuxカーネルで可能な全ての隔離機能をサポートしています。それだけではなく、全てのコンテナ化アプリケーションに対して設定やポリシーの変更を可能にしたまま、Docker Engineで走るアプリケーションに対して簡単なユーザーエクスペリエンスによる規定値での強力な保護機能を提供しています。
しかし、この文章をそのまま受け取らないようお願いします。2つの独立したグループがDocker Engineを評価し、Dockerがあらかじめ持っているセキュリティの価値に対する意見を発表しました。
この投稿にも載せていますが、ガートナーのアナリストであるJoerg Fritschは最近、”Dockerコンテナ運用におけるセキュリティ”という文書を発表しました。その中でFritschは次のように述べています。
“ガートナーは、素のOSでデプロイされたアプリケーションよりもコンテナ上でデプロイされたアプリケーションの方がより安全であると断言する“ それは、たとえコンテナが壊されたとしても、”アプリケーションとユーザーがコンテナ毎に分離されているため、他のコンテナやホストOSが攻撃に対して譲歩してしまう事がなく、その譲歩によるダメージを大幅に減らしているからだ。“
加えて、NCCグループは対照的に、セキュリティ機能とコンテナプラットフォームの既定値について、“Linuxコンテナの理解とその強化”という発表をしています。この文書には、異なったプラットフォームにおける異なったデフォルト設定や異なったコンテナプラットフォームでの推奨値、また攻撃対象や脅威とそれに関する強化法のテストなどが含まれています。これらのテストで鍵となる結論として、Linuxコンテナ上で走っているアプリケーションはそれ以外で走っているアプリケーションよりセキュリティ性がより高いとして推奨されています。
“コンテナは全体的に数多くの利点をもたらします。セキュリティの面からは、攻撃対象を減少させる方法を提供し、部品、インターフェース、ライブラリとネットワーク接続等必要とされるもの以外をアプリケーションから分離します。”
“現在のように近代化した時代では、LinuxアプリケーションをLinuxコンテナ、MACあるいは軽量なサンドボックス上で動かさない理由を説明する必要があります。”
- NCCグループ、 Aaron Grattafiori
下記の表は、3つのコンテナプラットフォームの評価を示しています。Docker Engineはその中でも包括的な機能と強力なデフォルトの機能を持っている事が分かります。
引用: Understanding and Hardening Linux Containers
Dockerの”初期値でも高セキュリティ”というセキュリティ哲学は、セキュリティプラットフォーム、セキュアコンテンツからセキュリティを重視している企業において最新のソフトウェアを配信するためのセキュアアクセスに至るまで当てはまるコンセプトです。全てのLinux隔離機能をサポートするセキュア基盤上に構築されたDocker Datacenterは、アプリケーションスキャニング、署名、役割ベースのアクセスコントロール(RBAC)とライフサイクル全般をカバーするセキュアなクラスタのコンフィグレーションを提供します。
ADP社のようなリーディングカンパニーはDocker Dtacenterを信頼し、小切手支払いの処理、利益の管理および数千人に及ぶ従業員の数百万の慎重に扱うべきデータの保存に利用しています。
さらに情報が必要な場合は;
・ コンテナ分離ホワイトペーパー
・ Dockerによるソフトウェアサプライチェーンの高信頼度化
・ ADP社のDocker Datacenterによるエンタープライズコンテナの強化
・ Docker Datacenter の30日間試用
Dockerに関してさらに学ぶには
・Docker初心者は、10分のオンラインチュートリアルをご覧ください。
・画像、自動構築などを無料のDocker Hubアカウントでシェアしてみましょう。
・Docker 1.12リリースノートを読んでみましょう。
・Docker Weeklyを購読してみましょう。
・次に予定されているDockerオンラインMeetupに登録してみましょう。
・次に予定されているDocker Meetupに参加してみましょう。
・DockerCon 2016に登録してみましょう。
・DockerCon EU 2015のビデオを見てみましょう。
・Dockerコミュニティへの貢献を始めましょう。
