V2: インフラストラクチャ

管理目標

基盤となるインフラストラクチャはセットアップごとに大きく異なる可能性がありますが、それぞれの基礎となるものであるため、要求されるセキュリティレベルを満たすためには上位層に対して実現可能性を提供する必要があります。

検証対象のコンテナソリューションが以下の上位要件を満たすことを確認します。

• インフラストラクチャが適切なリソースを提供していることを確保すること。

• コンテナプラットフォームを含む基盤インフラストラクチャを堅牢化すること。

セキュリティ検証要件

#	説明	L1	L2	L3	導入バージョン
2.1	コンテナソリューション内外のネットワークを含む全体的なアーキテクチャと設計が定義されていることを検証します。	✓	✓	✓	1.0
2.2	すべてのコンポーネント (ノード、ネットワーク、コンテナなど) が文書化されている (理想的には完全に自動化されている) ことを検証します。	✓	✓	✓	1.0
2.3	使用されているすべてのコンポーネントがサポート/保守されており相互 (OS, Docker Engine, UCP, DTR など) に互換性があることを検証します。	✓	✓	✓	1.0
2.4	安定して動作するようにすべてのノードに適切なリソースが割り当てられていることを検証します。	✓	✓	✓	1.0
2.5	コンテナで利用可能なリソースが制限 (ulimit) されていることを検証します。		✓	✓	1.0
2.6	SELinux または AppArmor が有効であり、dockerd だけではなくすべてのノードで動作していることを検証します。			✓	1.0
2.7	ノードとその上で動作している Docker Engine の両方に対して更新が定期的に適用されていることを検証します。理想的には、更新の適用は完全に自動化されています。	✓	✓	✓	1.0
2.8	ロールバックを可能にするカナリアデプロイメント/カナリアリリース戦略を使用して更新がロールアウトされていることを検証します。		✓	✓	1.0
2.9	dockerd が live restore を有効にして構成されていることを検証します。		✓	✓	1.0
2.10	dockerd の設定に対するパーミッションが実際にアクセスする必要があるユーザーに制限されており、適切にログ記録されていることを検証します。	✓	✓	✓	1.0
2.11	すべてのノードがコンテナ関連要素だけではなくオペレーティングシステム全体を対象とする定期的な自動セキュリティスキャンを受けていることを検証します。		✓	✓	1.0
2.12	汎用のものではなくコンテナ固有のオペレーティングシステム (Container Linux, RancherOS, RedHat Project Atomic, VMware Photon など) がすべてのノードで使用されていることを検証します。			✓	1.0
2.13	一般的なベストプラクティスに基づいてすべてのノードが堅牢化されていることを検証します。	✓	✓	✓	1.0
2.14	特に指定がない限り、デフォルトの Docker 設定値が使用されていることを検証します。	✓	✓	✓	1.0
2.15	可能な限り、ノードへの直接アクセス (SSH や RDP など) が制限されていることを検証します。	✓	✓	✓	1.0