BT

Dockerがコンテナのセキュリティを強化

| 作者: Guillermo Beltri フォローする 0 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー 投稿日 2015年12月24日. 推定読書時間: 3 分 |

原文(投稿日:2015/11/19)へのリンク

Docker Inc.は,11月16-17日にバルセロナで開催されたDockerCon EUの中で,一連のセキュリティ拡張を新たに発表した。変更されるのは,コンテナイメージのハードウェア署名(hardware signing),イメージスキャンによるコンテンツ監査,脆弱性検出,ユーザ名前空間を備えた詳細なアクセス管理ポリシなどだ。

Dockerは3ヶ月前のDocker Engine 1.8の発表に合わせて,Docker Content Trustを導入している。今回DockerCon EUで発表されたのは,YubicoのYubiKeyを使用したハードウェア署名のDocker Content Trustフレームワーによるサポートだ。DockerとYubicoは共同で,人の操作によってイメージへのサインを確実に実行する,タッチ・ツー・サイン(touch-to-sign)物理キーを開発している。その結果,Docker開発者とシステム管理者,そしてサードパーティISVらは,初期開発からその後のアップデートまで,一貫性のあるコードへのデジタルサインが実現したのだ。

同じくDockerCon EUでは,コンテナにユーザ名前空間を導入することも発表されている。コンテナとDockerのデーモンレベルでの権限が区別可能になることにより,コンテナ自体はホストのrootアクセスを持たず,Dockerデーモンのみとする運用が可能になる。

これらの拡張により,IT運用面においてはこれまでより詳細な,Docker化されたサービス単位でのアクセス権限管理が可能になった,とDockerでは結論付けている。さらにこの機能によって,ある組織が別の組織のアプリケーションサービスをコントロールする状況を防止することもできる,とDockerはプレスノートで説明している。

セキュリティに関する3番目の発表は,‘Docker Image Scanning and Vulnerability Detection’だ。現在,リポジトリの全コンテンツはDocker Incによって署名およびスキャンされているが,今回その機能が,ISVとDockerユーザにも提供されることになった。これによって,ISVとしてはセキュリティプロファイルをアップグレードするために必要な脆弱性修正が,ユーザにとってはイメージコンテンツの無謬性の保証が,それぞれ可能になる。Dockerはこれまでも,さまざまなセキュリティ関係の講演で,Dockerイメージの管理されたリポジトリを用意することの重要性を強調していた。

Dockerイメージ署名と名前空間は,いずれもDocker ExperimentalNotary 0.1で利用可能な機能だ。また,イメージ署名と脆弱性検出については,すでにDocker Hubのすべての公式リポジトリに含まれている。

Dockerでセキュリティディレクタを務めるNathan McCauley氏は,“Understanding Docker Security”と題したプレゼンテーションを行う中で,セキュリティに関してDockerが遵守する4つのメインライン – 抑止,起源,認証,脆弱性について詳しく説明している。

月曜日に行われたDockerCon EUのオープニングセッションでは,参加者にYubocoのYubikeyが配布された。さらにDockerは,自社のブログの中で,Docker Content Trustフレームワークを使ったDockerイメージへの署名の方法の簡単なチュートリアルも提供している。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

特集コンテンツ一覧

ASP.NET Core - シンプルの力

Chris Klug 2018年6月4日 午前3時26分

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT