組織は、ソフトウェアサプライチェーンを保護しようとする上で、ますます新たな課題に直面しています。 これは、従業員がより分散モデルに移行し、組織が分散チームでより多くの開発者をスケーリングおよびオンボーディングするにつれて、特に困難になっています。 2021年にはソフトウェアサプライチェーン攻撃の数が650%増加しており、これらすべての開発者を調整することは、組織に深刻なセキュリティ、管理、および可視性の課題をもたらします。
最近、ウェビナーを主催しました、 Docker Businessによるソフトウェアサプライチェーンの保護 これは、見逃した場合はオンデマンドで利用できるようになりました。 ウェビナーでは、DockerのCTOであるJustin CormackとカスタマーサクセスエンジニアのNikhi Anandが、一般的なセキュリティの課題、コンテンツをセキュリティで保護するためのベストプラクティス、Dockerが最近のLog4jの脆弱性に対処するのにどのように役立つか、開発者の作業を安全に保つためにDockerが積極的に行っていること、および Docker Business が組織がスケーラブルでより安全な方法でDockerの使用を標準化するのにどのように役立つかについて説明しました。
セキュリティウェビナーの録画を オンデマンドで視聴するか、読み続けて見逃したものに追いつきます。
コンテンツをセキュリティで保護するためのベスト プラクティス: Docker の信頼されたコンテンツ
サプライチェーンを保護するための重要な出発点の1つは、開発者のラップトップです。 開発者が使用しているイメージ、それらがどこから来ているか、どのように維持されているか、およびそれらが現在のセキュリティのベストプラクティスに準拠しているかどうかについての洞察を得ることが重要です。 Docker 公式イメージや Docker 検証済み発行元プログラムなどの Docker 信頼済みコンテンツ プログラムは、これらのイメージが信頼できるソースからのものであることを開発者に検証し、なりすましリポジトリから悪意のあるイメージをプルするリスクを軽減します。
Docker 公式イメージは、Docker Hub でホストされている Docker リポジトリの厳選されたセットです。これらの画像には明確なドキュメントがあり、ベストプラクティスを促進し、最も一般的なユースケース向けに設計されています。
Docker 検証済み発行元プログラムを使用すると、独立系ソフトウェア ベンダー (ISV)、開発ツール ベンダー、およびプラットフォーム プロバイダーは、Docker Hub を介して Docker 化されたコンテンツを配布できます。Docker Hub リポジトリに含まれる検証済み発行元バッジは、これらのリポジトリが Docker パートナーによって公開されており、開発者のセキュリティで保護されたサプライ チェーンに含める資格があることを示します。
任意のパブリックイメージをプルして実行すると、ビジネスはセキュリティリスクにさらされます。 Docker 公式イメージや Docker 検証済み発行元イメージなどの信頼できるコンテンツは、より安全なアプリケーション開発に必要な信頼性の高いビルディング ブロックを提供します。 これらのイメージは定期的に維持および更新され、セキュリティのベスト プラクティスに従います。
Log4j の脆弱性
ウェビナーでは、Docker CTO、ジャスティン・コーマックが最近の Log4j 2の脆弱性CVE-2021-44228に対処しました。 Dockerエンジニアリングチームは、ユーザーを支援するために、次のようないくつかのソリューションに取り組んできました。
- Docker の脆弱性スキャン を改善するためのいくつかの修正が出荷され、コンテナー イメージの Log4j の問題を検出できるようになりました。 チームは必要に応じてこれを調整しています。
- Docker Hub スキャン インターフェイスに、Log4j の影響を受けるイメージを表示するメモを追加しました
- Docker 公式イメージが Log4j に対して脆弱であるか、修正されているかを示す機能をリリースしました。
- 脆弱なバージョンを含む Docker 公式イメージと、Docker 公式イメージの現在のステータス更新に関する情報を表示する ページを Web サイトに設置します。
Docker 独自のインフラストラクチャおよび Docker Desktop は、Log4j 2 の脆弱性の影響を受けません。 Dockerは主にGoコードを使用してアプリケーションを構築し、Javaは使用しません。 一部のJavaアプリケーションを内部で使用していますが、CVE-2021-44228およびCVE-2021-45046に対して脆弱ではないことを確認しています。
Dockerデスクトップを安全にするものは何ですか?
Dockerデスクトップは、ユーザーにとって安全なデスクトップシステムとして設計された統合製品です。 セキュリティ リスクを軽減するという点で、Docker Desktop には、Docker によって管理される安全な軽量の Linux VM があります。 Docker Desktop は、この VM を安全な既定値で設定するだけでなく、必要に応じて curl パッチまたはセキュリティ修正プログラムを適用することで、この VM と他のすべてのコンポーネントを残業時間で最新の状態に保ちます。 Docker Desktop では、Microsoft Hyper-V または WSL 2 バックエンドの選択肢もあります。 出荷される Hyper-V バックエンドは、Docker によって完全に管理されています。
Docker Businessは、イメージアクセス管理や(まもなく出荷される)レジストリアクセス管理などの機能を備えたコントロールプレーンを提供するため、管理者は開発者が作業しているイメージを制御および管理できます。 私たちは追加の可観測性機能に取り組んできましたが、フィードバックをお待ちしておりますので、ロードマップで開発者にとって最も役立つ機能をお知らせください。
セキュリティの観点から見たドッカーとDIY
イノベーションを推進するために企業が直面する一般的な課題の 1 つは、開発者が作業を簡素化し、ビジネスの中核ではない作業に最小限の時間を費やしながら価値を創造するために必要なツールを確実に入手できるようにする方法です。 ほとんどの企業は、独自のソフトウェアを構築するのではなく、商用ソフトウェアを購入することを強く好み、これらの決定を下す際の重要な要素のいくつかは次のとおりです。
- 時間のコスト
- 機会費用
- 価値実現までの時間
- セキュリティリスクのコスト
- オープンソースソフトウェアを使用したDIYは、私たちの組織にとって理にかなっていますか?
開発者がビジネスの中核ではないDIY開発プロジェクトの構築に時間を費やしている場合、価値実現までの時間と投資収益率に大きな影響を与える可能性があります。 オープンソースソフトウェアとDocker Engineアプローチを使用したDIYを検討している場合は、ソフトウェアチームとエンジニアリングリソースが、DIYソリューションのすべてのコンポーネントを更新し、すべての脆弱性に時間の経過とともにパッチを適用するための準備と設備を備えているかどうかを検討することが重要です。
時間のコスト、価値実現までの時間、DIYソリューションが組織に最適かどうかなど、いくつかの工場を考慮すると、データは、ほとんどの組織が独自のソリューションを構築しようとするよりも、商用ソフトウェアを購入する方が良いことを示しています。
ドッカーSSOが近づいています
ウェビナーの最後の説明には、SSOが2022年1月(今月)に提供されるという発表が含まれます。 SSO を使用すると、ユーザーは組織の標準 ID プロバイダーを使用して認証し、Docker にアクセスできますが、これは最も要望の多かった機能の 1 つであり、Docker Business サブスクリプションに含まれています。
ホワイトペーパー: Docker Business を使用した最新の安全なアプリケーションを大規模に構築する
ウェビナーで取り上げたトピックの一部と、Docker Business が高度な機能でソフトウェア サプライ チェーンを保護する方法について詳しくは、新しい Docker Business ホワイトペーパーをご覧ください。
セキュリティに関する Q&A
DockerのCTOであるJustin CormackとカスタマーサクセスエンジニアのNikhi Anandがウェビナー中にライブでQ&Aに回答し、ウェビナーの質問と回答を以下にキャプチャしました。
個人データは Docker デスクトップ サブスクリプションで収集されますか?
当社は、Docker Desktop 上で個人データや PII を収集することはありません。 当社は、人々が当社の製品をどのように使用しているかをよりよく理解するために匿名化されたデータを収集し、製品を改善することができますが、すべてのユーザーは設定で匿名データ収集をオプトアウトするオプションがあります。 将来的には、組織内のすべての人がオプトアウトできるDocker Business機能を提供する予定ですが、現時点では個別にオプトアウトする必要がありますが、この機能は ロードマップにあります。
Docker Business サブスクリプションは SaaS オファリングですか?
はい、Docker Businessコントロールプレーンはサービスとして提供されていますが、Docker Desktop自体は開発者のワークステーションでスタンドアロンで実行されます。 開発者はオフラインで作業することを好むことを理解しているため、管理者はチームメンバーにログインを要求するかどうかを設定でき、ビジネスコントロールプレーンから切断されたDockerDesktopを使用できます。
コンテナでlog4jをどのように処理する必要がありますか?
再構築と更新は、現時点での最善の解決策です。 最も重要なことは、できるだけ早く修正バージョンに更新することです。 Docker 公式イメージを使用していて、そのままデプロイしている場合は、Docker 公式イメージ サイトの リリース ノートを見ると、そのバージョンが修正されているかどうかがわかります。 Docker Desktop の最新リリースでは、すべてを効果的に修復できたかどうかを検出できるスキャン ツールが提供されていたため、これらのツールを使用して、更新したことや見落としがないことを確認できます。
最新バージョンの Docker デスクトップに更新する利点は何ですか?
最新バージョンにアップグレードすることを強くお勧めします。 老朽化したソフトウェアを長く使い続けるほど、自分で生み出すセキュリティリスクが大きくなります。 具体的には、古いソフトウェアには最近発見されたセキュリティ脆弱性のパッチがなく、新しい頻繁に更新されるソフトウェア(Docker Desktopの機能の1つ)には常に最新のパッチがあります。
Hyper-V と WSL 2 のどちらがより安全ですか?
現在の一般的なコンセンサスは、Hyper-Vは、特にDockerデスクトップHyper-Vの管理と更新により、もう少し安全で管理しやすいということです。 WSL 2 ではより多くの機能が提供され、多くの開発者が Windows で WSL 2 を使用することを楽しんでいるため、Docker は両方のオプションを提供します。 あなたとあなたのチームにとって適切なオプションは、組織のニーズと要件に大きく依存します。
クライアントにイメージをデプロイする場合、従業員が 150 人を超える場合、クライアントはイメージを実行するために Docker Business サブスクリプションを持っている必要がありますか?
Dockerデスクトップは、それを使用している人に基づいてライセンスされているため、クライアントはDockerBusinessサブスクリプションが必要になります。 このタイプの使用法について多くの質問があり、多くの人がこのようにDocker Desktopを使用していることがわかっているため、Docker Desktopのどの種類の統合拡張機能がコミュニティに役立つかについて詳しく知りたいと思います。 デスクトップ拡張機能に関する ロードマップの問題 がありますので、そこでフィードバックをお寄せください。
コンテナの署名と検証、およびその実装方法について少しお話しいただけますか。
私たちは何年も前にNotaryと呼ばれる統合プロジェクトをDocker Hubに出荷しました。 マイクロソフト、Amazon、その他のパートナーと協力して、これの更新バージョンを作成しており、新しいコンテナー署名フレームワークと見なしています。 これは2022年にリリースされる予定です。
結論と追加のリソース
Dockerビジネスウェビナーによるソフトウェアサプライチェーンの保護にご参加いただきありがとうございます。以下は、DockerセキュリティプラクティスとDockerビジネスについて詳しく知りたい場合に確認すべき追加のリソースです。