Docker Incは,これまでProject Nautilusと呼ばれていたDocker Security Scanningの一般向け提供を発表した。今回のリリースは,CIS Docker Security BenchmarkのアップデートをDocker 1.11.0に反映するためのものだ。Docker Benchツールがアップデートされて,ホストとデーモンの設定が同セキュリティベンチマークの推奨事項に適合していることをチェックできるようになる。
2016年3月10日からDocker Cloudのプライベートリポジトリのユーザを対象に,Security Scanning機能の期間制限付き無償試用版が提供されている。この対象が間もなく,全Docker Cloudユーザに拡張されるのだ。Security ScanningはDocker Datacenterの統合機能にもなる。スキャン機能を‘build, ship, run’というライフサイクル内に,以下の4部分からなるプロセスとして統合することが考えられている。
- ベースイメージはスキャンされ,署名された上で,中央レジストリ(Docker Content Trustが統合されたシステム)にプッシュされる。
- 開発者はセキュアなベースイメージにアプリを追加した上で,全体をスキャンのためにプッシュする。 ここでBOM(部品表)が生成され,改善すべき脆弱性が記録される。
- BOMが適切な状態になれば,アプリケーションイメージに署名されて,運用目的での展開が可能になる(対象とするホストは,コンフィギュレーションをDocker Benchで検査された上で,セキュアなリポジトリを信頼する)。
- スキャンデータベースに新たな脆弱性が追加された場合には,リポジトリが保持するデプロイ済みのイメージに対して,検出された問題点を通知することができる。新たなイメージを生成する,脆弱性を持ったコンテナをパッチ済みの新しいコンテナに置き換える,などの対策が考えられる。
Security Scanningエンジンは,単純にファイルを検索してハッシュを生成するだけでなく,静的リンクされたバイナリから,OpenSSLのようにセキュリティ上重要なソフトウェアを検出することも可能だ。ただし,この機能は言語サポートモジュールに依存しているため,現時点ではGo言語の静的ライブラリには動作しない。
Docker Incのセキュリティ担当ディレクタであるNathan McCauley氏は,このスキャン機能がこれまでに,Docker Hubから‘4億件を越えるプル’を獲得したと述べているが,その中のいくつが既知の脆弱性を持ったソフトウェアを含んでいたかについてはコメントしていない。さらに氏は,公式なDockerイメージのすべてにSecurity Scanningを利用する予定であること,新たに発見された問題については修正プロセスを‘合理的なスケジュールに従って’進めていること,なども明言している。
CIS Docker Security Benchmarkが最初にリリースされたのは昨年で,対象はDocker 1.6だった。BenchmarkがDockerエンジンと同じリリースペースを維持できるとは思われないが,新たな機能を追跡するためには,Docker BenchツールがBenchmarkよりも頻繁にアップデートされる必要がある,と氏は考えている。
氏はDocker Trusted Registry(DTR)とDocker Universal Control Plane(UCP)に用意されているRole Based Access Control(RBAC)機能についても熱心に解説している。一部のユーザから要望のあったAttribute Based Access Control(ABAC)も,近々提供される予定だ。今回のセキュリティに関する発表は全Dockerユーザを対象としたものだが,中でも重視されているのはプレミアム製品やサービスである。Docker Incは,非常に人気の高い自らのオープンソースプロジェクトをベースとして,マネジメントとセキュリティ機能のマーケットに集中しようとしているようだ。
この記事を評価
- 編集者評
- 編集長対応