コンテナ セキュリティの基礎: 導入

コンテナ セキュリティの本当の意味とは?

コンテナの導入は加速し続けています。 影響を受ける IT のあらゆる分野、つまりほぼすべての分野での調査でそれが見られます。 コンテナ化されたワークロードがオンプレミスとクラウドの両方でエンタープライズ ワークロードを消費し続けることは疑いの余地がありません。

コンテナを本番環境で使用しているほぼすべて (94%) の組織は、コンテナのセキュリティについて多少なりとも非常に懸念しています。 Tripwire の「State of Container Security 2019」によると、半数以上 (60%) が過去 12 か月間にコンテナ セキュリティ インシデントを経験しています。 回答者の半数以上 (54%) が、最大のセキュリティ上の懸念として「チーム間のコンテナ セキュリティに関する知識の不足」を選択しました。

これは、コンテナ化が単なるパッケージ形式の問題ではないからかもしれません。 コンテナだけでは組織にほとんどメリットをもたらしません。 コンテナの強みは、オーケストレーション システムを使用してコンテナを展開および管理できることです。 そのため、これらは数十年にわたって存在していましたが、オーケストレーション製品が登場するまでは実際に採用されることはありませんでした。

コンテナとオーケストレーションが、自動化された配信および展開パイプラインの使用を通じてスピードを促進するアジャイルや DevOps などのアプローチに自然に適合することが明らかになったため、採用が加速しました。

したがって、コンテナにワークロードをデプロイする場合は、デリバリー (CI/CD)パイプラインの一部であるオーケストレーションシステムもデプロイすると想定するのが妥当です。

コンテナのセキュリティについて話し始めるときに考慮する必要がある個別のシステムは、パイプライン、オーケストレーション、ワークロードの 3 つです。 

コンテナのセキュリティ戦略にも、これら 3 つすべてを含める必要があります。 いずれか 1 つでも評価せずに放置すると、さまざまなリスクにさらされることになります。そのほとんどが、リスト上で望まない位置を獲得したり、さらに悪いことに、読みたくない見出しに掲載されたりする可能性があります。 これにより、組織がチームに必要な適切なセキュリティ知識を備えていることを確認することがより困難になります。

だから私はSrとチームを組んだんです。 プラットフォーム セキュリティのテスト エンジニアである Jordan Zebor が、基礎を理解して効果的なコンテナー セキュリティ戦略を策定できるようにするためのブログ シリーズをお届けします。 そのために、コンテナ セキュリティの 3 つのコンポーネントをそれぞれ詳しく掘り下げていきます。

1. パイプラインセキュリティ
   パイプラインは、コンテナ化されたワークロードのオーケストレーション システムへの配信を自動化するために使用されるツール セットです。 これには、カスタム Python スクリプト、Jenkins、GitHub、GitLab などが含まれる場合があります。
   
   
2. オーケストレーションセキュリティ
   オーケストレーション システムは、ワークロードの管理とスケーリングに使用されます。 ほとんどの場合は Kubernetes ですが、RedHat OpenShift、AWS、Azure、Google、Mesos などの Kubernetes ベースのシステム、または一部のケースではカスタム システムの場合もあります。 このシリーズでは、現在最も使用されているオーケストレーション オプションである Kubernetes に焦点を当てます。
   
   
3. ワークロードセキュリティ
   展開されるワークロードのセキュリティ。 すべてのワークロードはソフトウェアであり、他のワークロードと通信し、一般に公開される可能性があります。 これにインフラストラクチャとミドルウェアが含まれるようになってきています。 

シリーズの次のブログをお読みください: 
コンテナ セキュリティの基礎: パイプライン