V7: ネットワーク

管理目標

最新のアプリケーションとサービスのほぼすべてがモノリシックではなく、ネットワーク接続を介して相互連携する複数のコンポーネントで構成されています。ネットワークをセキュアにすることはそれ自体がセキュリティ分野になりますが、コンテナテクノロジが影響を及ぼし、ネットワークを使用する際にセキュリティを向上させることができる側面がいくつかあります。

検証対象のコンテナソリューションが以下の上位要件を満たすことを確認します。

• 適切なネットワークドライバを選択して正しく設定すること。

• 不要な機能を無効にして制限を適用すること。

• ネットワーク経由でデータを転送する際に暗号化を実施すること。

セキュリティ検証要件

#	説明	L1	L2	L3	導入バージョン
7.1	本運用に対応したネットワークドライバが使用されていることを検証します。	✓	✓	✓	1.0
7.2	(たとえば DNS ラウンドロビンや仮想 IP (VIP) を使用して) 負荷分散機能がアクティブであることを検証します。		✓	✓	1.0
7.3	Docker ユーザーランドプロキシ (デフォルトで有効) が無効であることを検証します。		✓	✓	1.0
7.4	デフォルトブリッジ (docker0) が使用されていないことを検証します。	✓	✓	✓	1.0
7.5	異なるコンテナ間のネットワーク通信がデフォルトで不可になるように dockerd が設定されていることを検証します。これは docker0 ブリッジを使用しないか --icc を false に設定することで行えます。		✓	✓	1.0
7.6	dockerd が iptables ルールの変更を許可されていることを検証します。	✓	✓	✓	1.0
7.7	公開ポートがノードの特定のネットワークインタフェースに割り当てられていることを検証します。	✓	✓	✓	1.0
7.8	管理トラフィックとデータ/アプリケーショントラフィックが異なるネットワークインタフェースにより分離されていることを検証します。			✓	1.0
7.9	レイヤ 3 セグメンテーションを確保するために、各アプリケーション (一つ以上のサービス) に少なくとも一つの独立して分離されているオーバーレイネットワークが割り当てられていることを検証します。		✓	✓	1.0
7.10	オーバーレイネットワーク上のコンテナまたはノード間の暗号化が有効であることを検証します。		✓	✓	1.0
7.11	使用しているサブネットが他のサブネット (オーバーレイネットワークなど) と重複していないことを検証します。	✓	✓	✓	1.0
7.12	公開ポートが必要最小限に制限されていることを検証します。	✓	✓	✓	1.0