はじめに
コンテナ化された環境の実装はデプロイメントの実行方法を変更するだけではなく、システムおよびネットワークレベルでハードウェアやネットワークリソースの使用方法にも大きな影響を与えます。
このドキュメントはコンテナ化された環境を保護し、セキュアな状態を維持するのに役立ちます。
アプリケーションセキュリティとは?
Docker を使用する際のセキュリティへの影響 (ネガティブなもの、ポジティブなもの) がどのようなものであるかについて誤解されることがよくあります。
Docker は他のコンテナ化テクノロジと同様にアプリケーションのセキュリティ問題を解決するものではありません。入力妥当性確認の実行には役立ちませんし、SQL インジェクションに対する保護も提供していません。アプリケーションのセキュリティリスクについて OWASP は OWASP プロアクティブコントロール の OWASP Top 10 から OWASP アプリケーションセキュリティ検証標準 まで数えるとキリがありませんが他の多くの有用なドキュメントを提供しています。
コンテナセキュリティは主にシステムやネットワークのセキュリティとセキュアなアーキテクチャ設計に関するものです。
これはコンテナ化の使用を開始する 前 にセキュアな方法で環境を計画することが最善であることを示しています。一部のポイントではすでに本運用でコンテナ化のロールアウトを開始した際に後から変更することが困難であるかコストがかかます。
パラダイムのシフト: 新しいベクトル
古典的な世界の観点から見ると、特にシステムとネットワークの領域ではコンテナ化は環境に大きな変化をもたらします。これらの変化により新たな潜在的攻撃対象領域が開かれています。ネットワークとシステムのセキュリティ問題が発生しないように特に注意を払う必要があります。
これらの技術的領域とは別に、技術的ではないポイントが二つあります。
Docker はもはや新しいテクノロジではありませんが、成熟と採択の時間を差し引くと、その期間は短くなります。すべてのテクノロジはそのテクノロジの知識とベストプラクティスが一般的な知識になるまで時間が必要です。
コンテナソリューションは開発者にメリットをもたらすかもしれませんが、セキュリティの観点からはそのテクノロジは単純ではありません。単純ではないことがセキュリティをより困難にしています。いわゆる KISS の原則 単純で愚鈍にする、です。
これがこのドキュメントで支援しようとしていることです。システムとネットワークの領域でよくある落とし穴を回避するための知識を提供し、複雑さを把握しようとすることです。
ドキュメント構造
これを成し遂げるために、このドキュメントではまずそのテクノロジにより引き起こされる脅威の分析を行います。これが後述する十のポイントの基礎となります。
その十のポイントには、それぞれ以下の順序で段落があります。
前書き
脅威シナリオの概要
前述の脅威を防ぐための推奨事項
問題があるかどうかを特定するための技術的なヒント
最後に参考情報を掲載 (商用と非商用のものに分かれています)
これはどのようなオーケストレーションフレームワークやその他の特定の製品 (OS、プログラミング言語) にもほとんど依存しません。
Last updated