来週、セキュリティ業界の目が Black Hat USA に集まる中、今こそ安全なアプリケーションの構築が最も重要であることを覚えておく良い機会です。
Dockerのセキュリティストーリーの最新章では、先月、DockerのCTOである Justin Cormack がソフトウェアサプライチェーンのセキュリティに関する 重要な最新情報を提供しました 。 彼は、Cloud Native Computing Foundation (CNCF) のセキュリティ技術諮問グループによるホワイト ペーパー「ソフトウェア サプライ チェーンのベスト プラクティス」の発行についてブログに投稿しました。
ソフトウェアサプライチェーン(ソフトウェアが生産 前に 作成、組み立て、構築、またはテストされるソフトウェア開発の旅のその段階)がサイバー犯罪者の好まれる標的になっているため、待望のドキュメントは重要です。 ジャスティンは、プロジェクトの原動力の1人であり、CNCFのレビュー担当者の1人であり、50ページのドキュメントを複数の反復で完成させるのを支援しました。
このペーパーは、ジャスティンが要約する4つの主要な原則を通じて、安全なサプライチェーンをより簡単かつ広く採用することを目的としています。
「より単純な言葉で言えば、これは、使用しているすべてのコード、使用している正確なバージョン、それらがどこから来たのか、そしてエラーがないように自動化された方法で安全に追跡できる必要があることを意味します。 ビルド環境は、最小限で、安全で、明確に定義されている、つまりコンテナ化されている必要があります。 そして、すべてが安全に認証されていることを確認する必要があります。」
寄稿者のロバート・レモスは先週、 ダークリーディング の記事 でジャスティンのブログを引用しました。 「コンテナを保護するために何が必要か」 というタイトルの記事では、信頼できるパイプラインを作成することが非常に重要である理由についてJustinを引用しています。
「自分で作成していないソフトウェア、多くの場合、アプリケーションで使用するオープンソースソフトウェアを使用するたびに、追加したソフトウェアが思ったとおりであり、敵対的ではなく信頼できることの両方を信頼しています。 通常、これらは両方とも真実ですが、何百人もの人々がインフラストラクチャを攻撃するコードが含まれていることが判明したSolarWindsからのアップデートをインストールした場合など、問題が発生した場合、結果は深刻です。」
DockerCon のセキュリティ
セキュリティストーリーの他のいくつかの側面は、5月のDockerConのメニューにありました。
Sysdig の統合エンジニアである Alvaro Muro は、 Dockerfile セキュリティのトップ ベスト プラクティスに関するウェビナーを主導し、イメージ ビルドのこれらのプラクティスがセキュリティの問題を防ぎ、コンテナー化されたアプリケーションを最適化するのにどのように役立つかを示しました。 また、不要な特権を回避する方法、マルチステージビルドで攻撃対象領域を減らす方法、機密データの漏洩を防ぐ方法、悪いプラクティスを検出する方法などを共有しました。
Red Ventures の Seyfat Khamidov 氏と Snyk の Eric Smalling 氏は、講演「 予防のオンス: 安全でないコンテナ イメージの修復」で、個々のコンテナーをスキャンしたり、継続的インテグレーション ビルド ジョブにコンテナー セキュリティ スキャンを組み込んだりするなど、運用環境に移行する前に Docker コンテナーの脆弱性を検出するための鍵を共有しました。 また、コンテナイメージを大規模にスキャンするためにRed Venturesが行っていることや、コンテナイメージのセキュリティ脆弱性をスキャンするためのDockerとSnykの新しい統合についても説明しました。
コンテナをスキャンして脆弱性の長いリストを見つけたときのパニック感を知っていますか? ええ、あれです。 彼の DockerCon プレゼンテーション「 My Container Image Has 500 Vulnerabilities, Now What?」では、Snyk の Matt Jarvis が棚からあなたについて語っています。 セキュリティリスクをどのように評価し、優先順位を付けますか? どのように修復を開始しますか? 彼はあなたが考慮する必要があることと始める方法をレイアウトします。
SolarWindsの侵害について、GitLabのBrendan O'Leary氏は、講演「 As Strong as the Weakest Link: Secure the Software Supply Chain」で、それと他の多くのサプライチェーン攻撃を分析しました。 彼は、見逃されたシンプルで実用的なセキュリティ対策を掘り下げ、そもそも攻撃が足場を築くことを可能にしました。
最後に、Accurics の CISO 兼 CTO である Om Moolchandani 氏は、「 Containerd の K8s 向けセキュア コンテナ ワークロード」というタイトルのセッションで、セキュリティを Docker 開発ワークフローと Kubernetes デプロイに簡単に組み込むことで、回復力を高めながら、「セキュリティを確保する」ために必要な労力を実質的に排除する方法について詳しく説明しています。 また、セキュリティ ガードレールを確立し、開発パイプラインでのプログラムによる適用を使用して最初からセキュリティを組み込み、K8s ランタイムでの自動適用でセキュリティを維持できるオープンソース ツールについても説明します。
Docker では、セキュリティは単なる合言葉ではなく、強迫観念です。 詳細については、 Justin のブログ投稿をお読み になり、上記の録画セッションをご覧ください。 それらはまだ利用可能で、まだ無料です。