2016.05.20

[和訳]Dockerに関するセキュリティの一年を振り返る #docker

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本稿は A Look Back at One Year of Docker Security (2016/4/20) の和訳です。

セキュリティは現在、コンテナのエコシステム内で最も重要なトピックの一つです。我々のチームとコミュニティはこの一年間を通して、Dockerプラットフォームにセキュリティに焦点を当てた新しい機能や改善点を追加するべく励んできました。

セキュリティはプラットフォームの一部であるべき

企業はより多くのインフラをパブリックやプライベートのクラウドに移行するのに伴い、セキュリティは後から追加するのではなく、プラットフォームの基盤に組み込まれていなければならないことを実感しています。最初のDocker Security White Paper （Docker セキュリティ白書）とCIS Benchmark for Docker 1.6がリリースされてから一年たった今でも私たちの努力が業界から認められ続けていることを嬉しく思います。直近では、Docker 1.11 CIS BenchmarkとDocker Engineの今後の評価、NCCグループのLinuxコンテナの強化に関する白書の一部という形になっています。

「現代においては、Linux アプリケーションをLinux コンテナ形式やMACや軽量のサンドボックスで実行しない理由はほとんどない」
- Aaron Grattafiori, NCC グループ白書の著者

NCCグループはまた、LXC 2.0, Docker 1.11 そして CoreOS Rkt 1.3の間のセキュリティ機能を確認し、3つのプラットフォームすべてにおける13以上の重要機能とそれらの機能の強度を査定しました。

docker0420

ソース：Understanding and Hardening Linux Containers 96頁

Dockerはこの一年間をコンテナセキュリティの3つの重要領域に重点をおいてきました：安全なアクセス、安全なコンテンツ、そして安全なプラットフォーム。この表から、これらの分離と制限の機能はDocker Engineに組み込まれているだけでなく、簡単に使える点です。これらの機能は、信頼できる地点からコンテナを作成可能にし、Linuxカーネル表面上の攻撃領域を減らし、Docker Engineの制限機能を改善し、究極的には安全なアプリケーションの構築、運用、実行を可能にします。昨年の進歩をすべて振り返るために、この一年間Dockerで実行されたセキュリティ機能のタイムラインを用意しました。

Docker 1.6
・Andy Goldstein による連想イメージ識別子
・デーモン側のulimit 設定

Docker Bench: CISベンチマークに基づき導入されたツール

Docker 1.8:Dockerコンテント・トラスト
・更新フレームワーク(TUF)を用いたイメージ署名と認証
・Docker Hubでホストする署名済みの公式イメージ

Docker 1.10
・Phil Estatesによるユーザー名前空間
・Jessie Frazelle によるデフォルトホワイトリストでのseccomp プロファイル
・Dima Stoppel, Liron Levin による認証プラグイン
・連想レイヤーストレージ

Docker 1.11
・Dockerコンテント・トラストへのハードウェア統合
・Dockerコンテント・トラストにおける重要な権限委譲のサポート
・Aleksa SaraiによるPIDコントロール

デフォルトで安全
Docker では「デフォルトで安全」であるべきと考えています。これらの機能を実装するとき、デフォルト構成ポリシーを難しい設定なしに利用できるようにしました。そのため、Docker Engineをインストールする誰もが、始めから安全に利用できるのです。安全を保つためにセキュリティの専門家である必要はありません。しかしながら、異なる要件がある場合、ポリシーや構成を容易に変えることができます。
我々はこれからも先進的に、Dockerユーザー全員に役に立つ機能を届けていきます。Docker1.11とその強固なセキュリティ初期設定は、今日利用可能な最も安全なコンテナプラットフォームとして位置付けされています。

Docker セキュリティに関するその他の資料:

Docker Engineのインストールと今現在の機能を試す
Dockerのホスト設定をチェックするためにDocker Benchを試す
NCC Group White Paperを入手する
セキュリティに関するオンラインミートアップを見る

Dockerに関してさらに学ぶには 
・Docker初心者は、10分のオンラインチュートリアルをご覧ください。
・画像、自動構築などを無料のDocker Hubアカウントでシェアしてみましょう。
・Docker 1.10リリースノートを読んでみましょう。
・Docker Weeklyを購読してみましょう。
・次に予定されているDockerオンラインMeetupに登録してみましょう。
・次に予定されているDocker Meetupに参加してみましょう。
・DockerCon 2016に登録してみましょう。
・DockerCon EU 2015のビデオを見てみましょう。
・Dockerコミュニティへの貢献を始めましょう。