これからのコンテナセキュリティ ~Dockerの今と課題~ 日本ヒューレット・パッカード株式会社 ITアシュアランス&セキュリティ ジャパンカントリーリード兼セキュリティエバンジェリスト 増田 博史 2015年11月18日 コンテナ(Docker)とは? - The container is a process isolation technology 非仮想化環境 APP APP ユーザー空間 カーネル空間 ソフトウェア仮想化 (VMware / Xen etc) コンテナ環境 APP APP APP APP APP ユーザー空間 ユーザー空間 OS OS VM VM カーネル空間 OS OS Hardware Hardware Hypervisor Hardware ユーザ空間を複数に分けて、それぞれのユーザプロセス(アプリケーション) から見えるリソースを制限する 2 Dockerの基本機能 - Docker provides “Image Management” and “Container Management” コンテナの管理 イメージの管理 ① コンテナの作成 ④ イメージの保存/配布 Registry Image ② コンテナの編集 Image ③ イメージの作成 Docker Hub Deploy ⑤ イメージの公開 アプリエンジニア OSにインストール出来るものをイメージ化し、標準化すること で、アプリケーション展開の自動化が可能 3 Dockerの価値 - Automation infrastructure コンテナの管理 イメージの管理 Standardizatio n 開発環境と展開先環境の共通化 Registry Docker Hub 少ないリソースを多く のアプリケーションで 効率的に利用する Image Image Effective Utilization Portability アプリケーション実行環境 を容易に用意できる Dockerの価値は、軽量型仮想OS(コンテナ)の提供ではなく 「イメージ管理」機能によるインフラ提供の自動化にある 4 Dockerの課題点 - Issue list for operating Docker - Security Resource Isolation カーネルを共有しているので,もし特権昇格の脆弱性があるコンテナに被害を受ける と,他の全てのコンテナとホストも攻撃対象となる。 Image Control 悪意のあるイメージの配布による攻撃が指摘されている。 Orchestration マルチノードのコンテナ通信を含め、依存関係があるサービス群のシステムを自動化 する仕組みがない。 Service Discovery 監視を含め、クラウド化された環境から必要となるサービスを見つけだし、指定する仕 組みがない。 まとめ 今後のDocker固有のセキュリティに期待。 トータルセキュリティで、 コストとリスクのバランスを考えるべき! Dockerを支援するHPE新製品(2015/11/17公開記事) •「HPE Helion Development Platform 2.0」: マイクロサービスの実装のためのツール •「HPE StormRunner」と「HPE AppPulse」: テスト、実装、モニタリングのための開発者向けツール •「HPE Sitescope」搭載の「Remote Docker Swarm」: クラスタモニタリング •「HPE Codar for Docker」: ハイブリッドワークロード •「HPE Composable Infrastructure」向けの「Docker Machine」プラグイン: 「HPE OneView」から自動化 ・最適化された「HPE 3PAR StoreServ Storage」と「HPE StoreVirtual」 出展:ZDNet:http://japan.zdnet.com/article/35073591/ Thank you 8
© Copyright 2024 ExpyDoc
