ソフトウェアライフサイクル全体でデプロイメントを保護しよう! #Mirantis #Kubernetes #k8s #msr
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
このブログは、「How Mirantis Secure Registry Protects Your Deployments Across the Software Lifecycle」の翻訳です。日本向けに一部加筆修正を行っております。
現在、ソフトウェアのサプライチェーンが複雑化し、また、ほとんどのソリューションにおいて、数え切れないほどのテクノロジーが相互依存している状況となっています。
そのため、ソフトウェア開発ライフサイクルのすべての段階において、セキュリティの確保が最重要の課題となってきました。
セキュリティの脅威が、「公開レジストリにマルウェアを仕掛ける長期的な攻撃」であれ、ありふれた「オープンソースライブラリに見つかった深刻な脆弱性」であれ、ネットワークの通信経路を監視するペリメータ(境界ベース)セキュリティアプローチは、もはや絶対的な選択肢ではありません。
組織は、DevOpsのワークフローと最新のセキュリティの現実の両方を実現できるツールを必要としています。
Mirantis Secure Registry (旧Docker Trusted Registry)は、あらゆる段階(設計段階からプロトタイプ、本番環境、そしてその先に至るまで)でデプロイメントを保護するコンテナレジストリソリューションを提供します。
この記事では、コンテナレジストリの機能、セキュリティにとって重要な理由、そして Mirantis Secure Registry の特徴について説明します。
コンテナレジストリって何?
コンテナレジストリは、コンテナイメージのためのリポジトリです。
( Mirantis Secure Registry のパッケージは、コンテナエンジンによって実行され、アプリケーションとその依存関係をすべて迅速に構築して実行できるソフトウェアのスタンドアロンパッケージとなっています。)
コンテナイメージは、テンプレートやプレハブ建築のユニットのような役割を果たすことができます。
例えば、開発者がプロジェクトのミドルウェアとして HTTP サーバを必要とする場合、レジストリから必要な HTTP サーバのイメージを即座にダウンロードして利用できます。
さらに、レジストリは(最新版や使用および配布の準備ができている)アプリケーションの唯一の配布元として機能します。
一般的にレジストリは、クラウド技術に携わる組織(Docker、Google、Amazonなど)が運営していることが多く、公開・非公開の設定が可能です。
-
パブリックレジストリ
- ユーザーが自由にコンテナイメージをダウンロードしたり、アップロードしたりすることができます。そのため、強力な学習ツールとして利用できますが、同時にセキュリティ上のリスクがあります。そのため企業での利用は適切な選択肢ではありません。Docker Hubは、最も人気のあるパブリックレジストリの1つです。
-
プライベートレジストリ
- 社内でホストすることも、外部のプロバイダーがホストすることもできますが、いずれにしても、ロールベースのアクセス制御やイメージの脆弱性スキャンなど、プライバシー、セキュリティ、およびガバナンスを実現する手段が組み込まれています。プライベートレジストリを利用すれば、ユーザーは自分のコンテナの「インベントリ」を検査し、誰がどのようにそれにアクセスするかを正確に管理することができます。
プライベートレジストリを利用すれば、より安全なコンテナ環境が実現できる事は容易に想像できるでしょう。その結果、より安全なソフトウェアのサプライチェーンが構築できます。
実際に、一般に公開されているコンテナイメージのセキュリティリスクの大きさには目を見張るものがあります。あるセキュリティ企業が 400 万個の Docker Hub に登録されているイメージをスキャンした結果、その51%に悪用される可能性のある脆弱性が含まれていることが判明しました。
コンプライアンス要件を遵守するにせよ、サプライチェーンのセキュリティを強化するにせよ、企業は Mirantis Secure Registry ( MSR ) のような信頼性の高いプライベートリポジトリを必要としています。
なぜ Mirantis Secure Registry を使用すべきなの?
Mirantis Secure Registry は、企業のセキュリティおよびコンプライアンス要件を満たすだけでなく、ワークフローの簡素化および高速化を実現するために設計されています。
一般的なイメージレジストリの機能のほかに、次の機能が提供されています。
- ロールベースのアクセス制御( RBAC )
- Mirantis Secure Registry は、ユーザーディレクトリと同期でき、組織全体のレジストリへのアクセス権限を設定し制御することでサプライチェーンを保護します。また、組織に併せて権限を管理維持することで、組織のITガバナンスの管理を容易にします。
- イメージの脆弱性スキャン
- Log4Shell の脆弱性は、ソフトウェアのコンポーネントのフルスタックを管理することの重要性を浮き彫りにしました。Mirantis Secure Registry は、コンテナとそれを構成するすべてのスタックをスキャンします。定期的に更新される脆弱性データベースとスキャン結果を照合しすべてのスタックでの脆弱性を可視化します。また、これらのスキャンを自動化された CI / CD プロセスに組み込むことも可能です。
- Kubernetes上で動作
- バージョン3.0.0 から、Mirantis Secure Registry は Kubernetes 1.20 以上のディストリビューションで他のアプリケーションと同じように動作します。つまり、Kubernetes さえあれば、お好みのクラウドベンダーの環境上や現在すでに利用しているk8sプラットフォーム上で使用することが可能となりました。
- ポリシーに基づいたイメージのプロモーション
- CI /CDの各ステージから次のステージへイメージをプロモーションする際のポリシーを設定し、プロモーションを管理する事により、CI / CD パイプラインのルールを簡素化できます。
まとめると
ソフトウェアのサプライチェーンがより複雑になるにつれ、セキュリティに対するサプライチェーン全体に対応できるアプローチがこれまで以上に重要となっています。そして、それは開発およびデリバリーを合理化する機会を生み出しているとも言えます。
Mirantis Secure Registry は、コンテナを活用する全ての企業にとって、ソフトウェア・ライフサイクル全体のワークフローを整理・高速化しつつもセキュリティを確保できる不可欠なツールとなります。
あなたの会社にもセキュアレジストリのソリューションが必要ですか?
必要性を感じていただけたら Mirantis Secure Registry を今すぐ無料でお試しください。
製品については、コチラ にてお問い合わせください。