2019年01月11日 05時00分 公開
特集/連載

権限を正しく設定するIT専門家が語るコンテナセキュリティのヒントと注意点

コンテナのセキュリティを確保するためには、コンテナ、ホスト、Kubernetes、アプリケーションの各構成を詳しく調べる必要がある。

[Beth Pariseau,TechTarget]
画像

 優秀なIT部門がコンテナオーケストレーションを導入した。そこで問題になるのが、複数のソフトウェアが混在する大規模インフラの中で完全なセキュリティをどのように確保するかということだ。

 まず着手しなければならないのは、セキュリティに抜け道ができる可能性をなくすために、「Docker」と「Kubernetes」両方のデフォルト設定を変更することだ。例えば配布されているコンテナイメージのデフォルトコンポーネントとして、「docker.sock」という名前が付いたソケットを考える。このソケットが、用途を管理するためのセキュリティツールなしでマウントされたとする。このソケットに脆弱(ぜいじゃく)性があると、攻撃者はこれを使用してホストOSにアクセスし、その後バックエンドデータベースにアクセスしてデータを持ち出してしまう恐れがある。同様に、KubernetesのAPIのデフォルト設定では、コンテナから悪意のあるポッドを通じてホストOSにアクセスされる恐れがある。

 2018年9月前半に米ボストンで開催されたセキュリティカンファレンス「DevSecCon」のプレゼンテーションで、ジェイソン・パターソン氏は次のように語った。同氏は、オンラインバンキングと小売業者向けに金融取引システムを製作する企業NCRで、アプリケーションセキュリティアーキテクトを務める。「コンテナには他の仮想マシン(VM)と同じ問題もある。コンテナは、社内ネットワーク経由で相互に通信する。つまり、1つの構成ミスが環境内のほぼ全てのコンテナを危険にさらす恐れがある」

重要なのはコンテナのセキュリティ構成設定

ITmedia マーケティング新着記事

news089.jpg

「平成ジャンプ世代」の男女共に約8割は結婚意向あり――Pairsエンゲージ パーソナル婚活研究所調べ
「平成ジャンプ世代」とは、未婚のまま平成の30年間を飛び越えて令和を迎えた昭和生まれ...

news046.jpg

F1層(20〜34歳女性)に聞く「タピオカドリンクを飲む理由」――ミュゼマーケティング調べ
タピオカドリンクを購入する理由などを、20〜34歳女性1764人にリサーチしています。

news043.jpg

「GAFA」を脅威と言う前に正しく理解する――オプトホールディング鉢嶺 登氏インタビュー
『GAFAに克つデジタルシフト』(日本経済新聞出版社)を上梓したオプトホールディング代...