テクノロジは常に進展しており、予想外の方向に着実に変化しています。これを踏まえて、コンテナベースのソリューションをセキュアにすることは一度限りの取り組みではなく、さまざまなチェックと妥当性確認を定期的に行う必要があります。
検証対象のコンテナソリューションが以下の上位要件を満たすことを定期的に確認します。
障害から復旧すること。
セキュリティ設定が有効であることを確認すること。
コンテナベースのソリューションの現在の状態を文書化すること。
以下の要件は定期的な実行サイクルに基づいて評価します。サイクルは三か月以内に保つことをお勧めします。
Last updated
#
説明
L1
L2
L3
導入バージョン
12.1
リソースに対するすべてのユーザーとグループのパーミッションが仕様および文書に則していることを検証します。
✓
✓
✓
1.0
12.2
アプリケーション/コンテナのリソース制限が定義どおりに機能していることを検証します。
✓
✓
1.0
12.3
各サービスが完全に自動化された方法で正常に再生成できることを検証します。
✓
✓
1.0
12.4
証明書と鍵が仕様にしたがって入れ替えられていることを検証します。
✓
1.0
12.5
すべてのサービスの構成、イメージ、およびネットワークが随時更新およびダウングレードできることを検証します。
✓
✓
1.0
12.6
ノードと Docker Engine が最新であることを検証します。
✓
✓
✓
1.0
12.7
負荷分散戦略が定義どおりに機能していることを検証します。
✓
✓
1.0
12.8
定義された戦略に基づいて、コンテナがクラスタ全体でバランスが取れていることを検証します。
✓
✓
1.0
12.9
すべてのサービスがノードおよび個々のコンテナの障害から復旧できることを検証します。
✓
✓
1.0
12.10
全体的な障害が発生した場合に、すべてのサービスに対してバックアップをリストアできることを検証します。
✓
✓
✓
1.0
12.11
Docker Security Bench が定期的に実行され、合格していることを検証します。
✓
✓
1.0