[和訳]Docker Security Scanningを使いコンテナ内のライフサイクルを保護するには #docker
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本稿は Docker Security Scanning safeguards the container content lifecycle (2016/5/10) の和訳です。
本日(5/10)、Docker Security Scanningの一般利用版(General availability)を発表しました。これは正式にはProject Nautilus(プロジェクト・ノーチラス)として知られています。本日からDocker Cloud個人レポジトリの追加サービスとして利用できます。あるいはDocker Hub上の公式リポジトリでもSecurity Scanningが適用されます。これはDockerイメージに対する率先したリスクマネジメント用のセキュリティ情報を提供し、ソフトウェアが適切かどうかの確認を簡素にします。Docker Security Scanningは、イメージをデプロイする前に、バイナリーレベルで検査をし、明細な部品表(BOM)を提供します。これはすべてのレイヤーとコンポーネントをリスト化し、新しい脆弱性がないか常に監視します。また、新しい脆弱性が見つかると通知します。
現代的なソフトウェアの供給プロセスを検討しましょう。典型的なのは、社内に様々な開発・ITチームが多数存在し、ソフトウェアをビルド・出荷・実行するためには、タイムゾーン、(ソフトウェアの)スタック、インフラストラクチャーの調整を必要とします。アプリ開発チームの主な関心は、最高のソフトウェアを構築し、お客様に可能な限り早く届けることです。しかし、ソフトウェア供給プロセスは開発者だけに留まりません。チームでのコード共有や環境間の移動というループを、継続的に繰り返し続けます。Dockerは安全なプラットフォームを通し、ポータビリティの摩擦が無く安全なアプリをデフォルトで作成します。そして、安全な接続の制御と、内容を安全に保つ機能を提供します。Docker Security ScanningはDockerイメージとイメージを構成するセキュリティープロフィールに深い見識を提供するので、安全なコンテンツを提供します。今後この情報は、アプリのライフサイクルにおけるすべてのステージで利用可能となります。
Docker Security Scanningのさらに詳細を見て、実際に試してみましょう。
Docker Security Scanningは、Docker Cloudと連携します(近日中にDocker Datacenterにも対応します)。これは、リポジトリに新しいイメージがプッシュされたのをトリガとし、一連の処理を行えうためです。サービスには、スキャントリガー、スキャナー、データベース、プラグインフレームワーク、そしてCVEデータベースとつながる検証サービスなどがあります。
セキュリティープロフィールに関する詳細
Docker Security Scanningサービスが始まるのは、ユーザーあるいは提供者がイメージをDocker Cloudのリポジトリにプッシュする時です。スキャナーサービスがイメージを取り込み、それを各レイヤーと構成物に分けます。その後構成物は、複数のCVEデータベースに対するチェックを行うため検証サービスに送られます。パッケージ名やバージョンだけでなく、パッケージ内のコンテンツをバイナリーレベルで検査と確認をします。
パッケージが実際に何をしているかを確認する手法があるので、この最終ステップは非常に重要です。
Dockerイメージは多くのレイヤーで構成されます。一つのレイヤーに多くの構成物やパッケージが存在し、各パッケージは適切な名称とバージョン番号があります。CVEデータベースの脆弱性報告は、パッケージ名と特定のバージョン番号に結び付けられます。
多くのサービスでは、既知の問題があるパッケージのデータベースから、単純にパッケージ名の確認しか行いません。「私のコンテナで何が実行されているのか?」という質問に対する回答を保証できないので、これだけでは不十分です。パッケージ名の確認に加え、我々はすべてのレイヤーのバイナリーレベルの解析を行い、各バイナリーに潜在するシグネチャーを既知の構成物とそのバージョンと一致させ、それを既知の脆弱性データベースと相互に参照します。これにより、スタンダードBOM(例 dpkg -l あるいは yum list installed)にリストされている構成物だけでなく、静的にリンクされている全てのライブラリも発見可能になります。これはは以前に脆弱性があったライブラリだとしても、構成物にパッチを適用済みかバックポート済みのバージョンかを、正確に認識できます。この手法により、脆弱性が報告済みのパッケージのバージョン変更をせず、修正だけ加えて使っている場合に発生する誤検知の確率を下げます。さらには、誰かが故意に問題のあるパッケージに名前変更する状況でも守れますできます。
お客様の保護に役立つよう、Docker Security Scanningは幅広いオペレーティングシステムのサポートを行います。メジャーなLinuxディストリビューションや、Windowsサーバー、言語、バイナリーなどがあります。
すべてをスキャンし終えると、元に戻り、詳細のBOMが作成され、それぞれのイメージ・タグのDocker Security Scanningデータベースに保管されます。結果がDocker Cloudに送られ、それぞれのスキャン済み再現タグのBOMとともにUIに表示されます。
連続的な監視と通知
イメージをスキャンできる能力は、都度見識を与えます。Docker Security Scanningはイメージが、きちんと監視と通知が行われて安全であるかどうか確かめるため、さらにもう一歩進んだ作業を行います。Docker Security Scanningデータベースは詳細イメージBOMとすべての構成物の各脆弱性状態を保管します。新しい脆弱性が中枢CVEデータベースに報告されると、Docker Security Scanningは、どのイメージとタグが、その影響を受けたパッケージを含んでいるのか確かめるため、サービスデータベースに確認し、メールでリポジトリの管理者に知らせます。
これらの通知は、脆弱性を含んでいるレポジトリとタグを一覧にするのはもちろん、その脆弱性に関する情報も含みます。この情報があれば、何の脆弱性が、ソフトウェアの何のピースに影響を与えるのか分かり、脆弱性の緊急性を再確認し、一連のアクションにおいて確かな決断ができ、ITチームは率先してソフトウェアのコンプライアンス要求を管理できるのです。
内容のライフサイクルを通して安全にするには
Docker Security Scanningが付与するものは、Dockerワークフローにとってエキサイティングなものです。企業が可能な限り最も安全なソフトウェアをビルド・出荷・実行する手助けになります。Content Trustと統合する場合、ソフトウェアがあなたの求める通りのものであり、求める人が作成したものであり、一度も勝手に変更されたことがないことを保証できます。例えば、は既に2015年11月に行われたDockerCon EU 以降、公式リポジトリはSecurity Scannningを適用済みです。脆弱性プロフィールを理解し、問題を修正し、Content Trustの印のあるアップデート済みイメージを配布しています。この機能により、Dockerは一流のパートナー共により優れて安全なイメージを提供できるのです。
利便性を知り、早速始める
本日よりDocker Cloudにて、個人レポジトリプランのお客様が、限られた期間、Docker Security Scanningの無料トライアルを利用できます。また、ログインしている間は、Docker HubでDocker公式イメージのスキャン結果を見ることもできます。アカウントがなくても可能です。Security スキャンはDocker DatacenterとDocker Cloud公開レポジトリユーザーにも間もなく広まるでしょう。
Docker Cloudで試してみましょう:
この機能を試すには、アカウント設定>プランで、チェックボックスを選択してください。
作動し次第、それぞれの個人レポジトリで直近に使用したタグが3つスキャンされ、24時間以内に使用したタグセレクション上に結果BOMを表示します。その後、Docker Security Scanningは、あなたがイメージをプッシュすれば、あなたのイメージタグをスキャンします。
次のスクリーンショットは、5つの個人リポジトリプランを使用しているユーザーのPlanページです。Docker Security Scanningにオプトインできるチェックボックスは、プラン概要の下方に表示されています。
我々はすべての個人リポジトリプランのお客様に今日から3か月の期間限定の無料トライアルを提供できるので、非常に嬉しく思っています。
Docker Hubアカウントを持ってはいるけれどDocker Cloudを使ったことがない場合-ご心配なく!あなたのログイン証明書もDocker Cloudで使えます。ネイティブな統合によって、あなたのDocker HubリポジトリがDocker Cloud「Repository」セクションに表示ディスプレイされるのを保証します。個人リポジトリプランは、5つの個人レポジトリ使用で毎月$7から利用開始できます。これはDocker Cloudでも利用可能です。
Docker Security Scanning関連資料
・今日Docker Cloudに登録してみましょう
・オンラインセミナーの席を予約してみましょう
・Security Scanningドキュメントを読んでみましょう
・近代のアプリプラットフォームについてさらに学習してみましょう
Dockerに関してさらに学ぶには
・Docker初心者は、10分のオンラインチュートリアルをご覧ください。
・画像、自動構築などを無料のDocker Hubアカウントでシェアしてみましょう。
・Docker 1.10リリースノートを読んでみましょう。
・Docker Weeklyを購読してみましょう。
・次に予定されているDockerオンラインMeetupに登録してみましょう。
・次に予定されているDocker Meetupに参加してみましょう。
・DockerCon 2016に登録してみましょう。
・DockerCon EU 2015のビデオを見てみましょう。
・Dockerコミュニティへの貢献を始めましょう。