コンプライアンスと規制の状況は進化し複雑化しており、コンプライアンスを維持するための開発者の負担は、SOC 2の維持、ISO 27001、FedRAMP、NIS 2、EU 14028などの記事ではあまり認識されていません。
Dockerの製品は、開発者の手に力を借りて、これらの要件へのコンプライアンスを維持し、エンジニアリングチームとセキュリティチームの間のボトルネックとなる可能性のあるものを排除することを目的としています。
Docker Business サブスクリプションを使用すると、Docker のお客様は、コンプライアンスの維持と制御の改善に役立つ詳細な制御と完全な製品スイートにアクセスできます。
アクセス制御
Dockerのソリューションはシングルサインオン(SSO)を提供し、お客様は既存のアクセス制御とIDプロバイダー(idP)を使用してDocker製品スイートを合理化できます。
Docker のお客様は、 Docker Desktop へのログインを強制することもできます。 registry.jsonまたは.plist ファイルの場合、すべてのユーザーが Docker Desktop にサインインするように要求して、Docker のローカル デスクトップ アプリケーションへのきめ細かなアクセスを提供できます。
Docker Hub内では、組織の所有者はレジストリや公開コンテンツへのアクセスを制御し、承認されたイメージにチームがアクセスできるようにするための詳細なチームを開発できます。
Hardened Docker Desktop
Docker Desktop で利用可能なセキュリティ構成を使用することで、お客様は環境のニーズに合わせてセキュリティ機能を追加できます。 これらの機能により、企業はサプライ チェーン セキュリティ、ネットワーク セキュリティ、およびネットワーク アクセスの制限と監視に関するコンプライアンスおよび規制要件に準拠できます。 これらの機能には、次のものが含まれます。
設定管理
Docker Desktop の設定管理 は、きめ細かなアクセス制御を提供するため、お客様はユーザーが環境内でどのように対話するかのあらゆる側面を直接制御できます。 これには、以下が含まれますが、これらに限定されません。
- HTTP プロキシ、ネットワーク設定、Kubernetes 設定を構成します。
- Docker エンジンを構成します。
- Docker Desktop の更新プログラムの確認機能、 Docker 拡張機能のオフ、ベータ版と試験版の機能のオフなどをオフにしてください。
- 開発者ファイル共有のパスを指定します。
コンテナ分離の強化
Enhanced Container Isolationにより 、お客様はコンテナのエスケープを防ぐためのセキュリティ設定を指定できます。
Registry Access Management
レジストリ アクセス管理を使用すると、ユーザーはアクセスできるレジストリをきめ細かく制御し、承認するレジストリのみに絞り込むことができます。
イメージ アクセス管理
Docker Hub内では、ユーザーがアクセスできるイメージも制御できるため、承認済みで信頼できるコンテンツのインベントリを作成できます。 Image Access Managementを使用すると、お客様は安全なソフトウェア開発ライフサイクル(SDLC)を実装できます。
エアギャップコンテナ
Docker Desktop の Air-Gapped Containers を使用すると、お客様はコンテナがネットワーク リソースにアクセスするのを制限し、データのアップロード先やダウンロード元を制限することもできます。 この機能により、お客様は開発環境をより詳細に制御できます。
Docker Scoutによる脆弱性の監視と継続的な評価
すべてのコンプライアンスおよび規制基準では、脆弱性スキャンをアプリケーションレベルで実行する必要がありますが、ほとんどのソリューションはコンテナレベルでスキャンせず、脆弱性が本番環境に到達するのを防ぐのにも役立ちません。
Docker Scout は、CI/CDに埋め込むことができるGitHubアプリケーションを提供し、イメージの脆弱性を特定して本番環境に移行するのを防ぎます。 これを開発の一部として使用することで、開発者は開発中にパッチを適用し、SAST、侵入テスト、バグ報奨金プログラムなどの一部として特定される脆弱性の量を減らすことができます。
また、Docker Scout を使用して、イメージの脆弱性を監視し、修正プログラムが利用可能かどうかを特定し、最新の情報を提供して、より安全な製品を作成することもできます。 ゼロデイ脆弱性がリリースされた場合、すべてのインスタンスのイメージを簡単に検索し、できるだけ早く修正できます。
ポリシー管理
お客様は、Docker Scout を利用して、次のコンプライアンスを監視できます。
- AGPLv3 および GPLv3 ライセンスを使用してパッケージを監視します。
- イメージでルート以外のユーザー名が指定されていることを確認します。
- 修正可能な重大な脆弱性と高い脆弱性をすべて監視します。
- 古い基本イメージ。
- サプライ チェーンの証明。
また、Docker Scout内でカスタムポリシーを作成して、自社のコンプライアンス要件を監視することもできます。 脆弱性のSLAはありますか? 環境を監視して、脆弱性修復の SLA 要件を満たしていることを確認します。
ソフトウェア部品表(SBOM)
お客様は、Docker Scoutを使用して完全なSBOMをコンパイルすることもできます。 多くの SBOM ソリューションは、イメージを個々のコンポーネントとパッケージに分解するためにイメージを見ません。 Docker Scout は、他のソリューションにはないマルチステージ ビルドもサポートしています。
Docker Build CloudとTestcontainers Cloudによるセキュリティリスクの軽減
Dockerビルドクラウド
Docker Build Cloud を使用すると、組織は次の機能を通じてビルドプロセス全体でより自律性を持つことができます。
- Docker Build Cloud は、リモート ビルド インフラストラクチャを使用することで、ビルド プロセスがローカル環境から分離され、ビルド プロセスに影響を与えるローカルの脆弱性のリスクを軽減します。
- お客様は、個々のビルドインフラストラクチャを管理する必要はありません。 一元管理により、すべてのビルドで一貫したセキュリティポリシーと更新が可能になります。
- 共有キャッシュは、冗長なビルドを回避し、イメージを最初からビルドする必要がある回数を最小限に抑えることで、攻撃対象領域を減らすのに役立ちます。
- Docker Build Cloud は、ネイティブのマルチプラットフォーム ビルドをサポートしており、さまざまな環境やプラットフォーム間でセキュリティ構成の一貫性を確保します。
Testcontainers クラウド
- テストをサポートするために、CI パイプラインで Docker ランタイムを実行しないでください。 Testcontainers Cloud は、インフラストラクチャの攻撃対象領域が小さいTestcontainers Cloudエージェントを使用することで、これを安全かつ安全に実行する複雑さを排除します。
- CIとDocker-in-Dockerを使用すると、開発者はソースコードの隣にroot特権のDockerデーモンを実行する必要がないため、サプライチェーンのリスクが軽減されます。
結論
Docker のセキュリティとコンプライアンスに対する包括的なアプローチにより、開発者は開発ライフサイクル全体を通じてこれらの側面を効率的に管理できます。 きめ細かなアクセス制御、強化された分離、継続的な脆弱性監視を統合することで、Dockerはセキュリティを開発プロセスのシームレスな部分にします。
Docker 製品スイートは、セキュリティ チームの介入なしに、コンプライアンスを維持し、セキュリティ リスクを管理するために必要なツールを開発者に提供します。
さらに詳しく
- Docker Newsletter を購読してください。
- Docker デスクトップの最新リリースを入手します。
- 無料アカウントを作成して、Testcontainers Cloud の使用を開始してください。
- 次のものに投票してください! 公開ロードマップをご覧ください。
- 質問がありますか? Docker コミュニティがお手伝いします。
- ドッカーは初めてですか? 始めましょう。