fbpx

Docker HubからDocker Trusted Registry (DTR)へのセキュアなコンテントワークフロー #docker

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

Docker Hubは世界最大のコンテナイメージライブラリです。Independent Software Vendors (ISV)が提供する公式または認定済みのコンテナイメージや、コミュニティの開発者やオープンソースプロジェクトが共有する数えきれない貢献のために、数百万人の個別の開発者達がDocker Hubに依存しています。大企業は既存の先進技術を活用することにより、Docker Hubにある厳選されたコンテンツからの恩恵を受けています。ただし、これらの組織はイメージが何に使われているか、イメージが結局どこに存在するのかに対するさらに大きな制御をしばしば必要とします。典型的には、ファイアウォールの内側のデータセンタやクラウドベースのインフラです。これらの企業にとって、Docker HubとDocker Trusted Registry (DTR)の間のセキュアなコンテントエンジンを構築することで、両者のいいとこどりが可能になります。すなわち、制御下にあるDTRへ新鮮で認定されたコンテンツのアクセスと「ダウンロード」を自動的に行う方法です。

究極的には、Docker HubからDTRへのワークフローは、多様なアプリケーションスタックやインフラをサポートするために、開発者に検証済みで安全なコンテンツの新鮮なソースを提供します。さらに、すべて企業の標準に準拠しつつです。これはDocker Enterprise 3.0でどのように実行しているかの例です:

イメージミラーリング

DTRを使うと、Docker Hubレポジトリを定期的にポーリングし、新しいイメージタグがプッシュされたときにプルを行い、コンテンツを取り出すためのミラーを設定することができます。これにより、複数のクラスタにあるいくつものレジストリ間に新鮮なイメージを複製することができます。最新のコンテンツを必要とする場所に、ネットワークのボトルネックを回避しながらすぐに配置できます。

アクセス制御

高度なアクセス制御により、組織はとても粒度の高いレベルでDTRに権限を設定することができます。これはAPIにも当てはまります。Docker Hubからのイメージは、資格を持つコンテント管理者のみにアクセス権限を与えた、DTR内の制限レポジトリにミラーリングできます。コンテンツ管理者の役割は、イメージが企業のポリシーに適合しているか確認することです。

イメージスキャン

イメージが制限レポジトリに入ると、コンテンツ管理者は脆弱性の自動スキャンを設定できます。これにより、組織が使おうとするソフトウェアやライブラリに対して高い粒度で可視化することができます。このバイナリレベルのスキャンは、イメージとアプリケーションをNIST CVEデータベースと比較し、既知のセキュリティ脅威を特定し、開発者がイメージを使う前に組織がレビューや認定を行う機会を提供します。

ポリシーベースのイメージプロモーション

DTRでは、コンテンツ管理者はポリシーベースのイメージプロモーションパイプラインを設定できます。これは認定済みイメージを自動的に開発者のレポジトリに移動するものです。例えば、「脆弱性スキャンによってイメージのメジャーレベルの脆弱性が0であれば、ターゲットにプロモーションする」というものです。これにより、イメージの出入りを自動的に制限するセキュリティ制御を強制し、認定済みコンテンツのみを開発者が利用できるようにしつつ、開発・配布パイプラインを簡略化します。

イメージ署名

電子署名は、イメージの内容と配布者の両方を検証し、それらの一貫性を保証するために用いられています。ユーザーもイメージをデプロイする前に、特定のユーザーの署名を要求することで、さらなる信頼を提供することができます。これにより、コンテンツ管理者は開発者のレポジトリ内に認定イメージが存在することを検証できます。開発者とCIツールも署名を適用できます。

エンド・トゥ・エンドの自動化

本稿で述べたワークフロー全体、すなわちイメージミラーリングから、新しいコンテンツに基づいて発報する脆弱性スキャン、プロモーションポリシーや電子署名を追加するCIワークフローまでもが、Docker Enterprise 3.0で自動化できます。このエンド・トゥ・エンドの自動化により、企業の開発者は自社の安全基準ややり方に従いつつも、Docker
Hubに存在する膨大なコンテンツに基づいて開発を行うことができます。

Docker Enterprise 3.0についてもっと学ぶには:


原文: A Secure Content Workflow from Docker Hub to DTR

新規CTA