コンテナの概念は「Linux」から始まり、2013年に「Docker」が主流に押し上げた。オーケストレーションレイヤーの進化によってコンテナの機能は成熟と拡大を続け、NetflixやPayPal Holdingsなど、特にハイパースケールクラウドサプライヤーのプラットフォームやマイクロサービスアーキテクチャではその傾向が強い。
業務でコンテナの安全な導入と継続的な利用を支えるCISO(最高情報セキュリティ責任者)は、コンテナがもたらす脅威とリスクに対処できることを確認しておかなければならない。IT資産の成長に伴って複雑さやサイズが増していくことはコンテナに限ったことではない。だが、コンテナにはCISOが検討すべき4つの分野がある。
1.ペースを維持し、手作業による再構築に圧倒されないように、DevSecOpsを使ってセキュリティチーム内のコードパイプラインに関するメンタリティーを確保する
コンテナ化したアプリケーションのコードへのパッチ適用には、コンテナのベースイメージの更新とコンテナの再構築・再デプロイが必要だ。コンテナは最新状態にしておかなければならない。その課題を乗り越えるには、セキュリティの専門家が開発者チームの一員になることが重要だ。
全てのDevSecOpsパイプラインと同様、コンテナイメージに埋め込まれる形でハードコードした資格情報の漏えい、脆弱(ぜいじゃく)性のスキャン、そのソフトウェアにパッケージされる依存関係の信頼度の決定についても予防措置を講じる必要がある。脆弱性検出の改善に役立つこうしたアクティビティーは、全てコストの削減につながる。パッチを適用するには、コンテナを停止して置き換え、再起動できる必要があることを忘れてはならない。
2.スケールに対応できる構成管理とセキュリティツールを導入する
効果的な構成管理は不可欠だ。この構成管理の課題をサポートするのがオーケストレーションサービス(「Kubernetes」「Amazon Elastic Container Service」「Azure Container Service」)、Micro Focus Internationalの「Configuration Management」などのCMDB(コンテナネイティブ構成管理データベース)やコンテナのラベル付け/タグ付けのポリシーだ。これらと並行して、ネットワークのセキュリティ、ログ、ホストOS、コンテナセキュリティを管理するアプローチも必要だ。
コンテナエコシステムの内外の脅威からコンテナを保護する方法が必要だ。マクロレベルの方法としては、リスクゾーン(Dockerの用語では「ポッド」)を導入する。コンテナはこのゾーン内なら自由に相互通信できる。だが、ゾーンの境界をまたぐとファイアウォールのルールが適用される。マイクロレベルの方法としては、コンテナイメージを備えたエージェントを導入する。これにより、動的に更新するかCI/CDパイプラインにファイアウォールのルールを組み込むことができる。どちらの方法にも、IT資産全体にわたって標準化したアプローチに自動コンプライアンスレポートを組み合わせる必要がある。
3.コンテナのリソース管理とホストの影響が及ぶ範囲の保護を実装する
続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。
コロナ禍における「ご自愛消費」の現状――スナックミー調査
「ご自愛消費」として最も多いのは「スイーツやおやつ」で全体の68%。その他、ランチ38...
正月三が日のテレビ視聴は過去10年間で最高値――ビデオリサーチ調査
正月三が日の総世帯視聴率(HUT)は過去10年で最高値となり、年末年始のテレビ視聴は例年...
KOLやKOCによる口コミを創出するために必要なこと
中国向けにマーケティングを行う上で重要なのが口コミである。口コミには友人・知人間で...