Docker、公式ブログにて安全なコンテナイメージ「Docker Hardened Images」を紹介

　米Dockerは、最新の本番環境向けに構築された、安全なコンテナイメージである「Docker Hardened Images（DHI）」について紹介する記事を、公式ブログにて5月19日（現地時間）に投稿した。

　DHIは、単にスリムまたは最小限であるだけでなく、攻撃対象領域を最大95％削減して、デフォルトで脆弱性が最小限に抑えられている。公開されているイメージはDockerによって選定・管理され、常に最新の状態に保たれているので、既知のCVEはほぼゼロとなっており、AlpineやDebianといった広く普及しているディストリビューションをサポートし、ツールの変更や互換性の妥協をすることなく統合できる。

　さらに、すでに利用しているツールとシームレスに連携するように設計されており、Microsoft、NGINX、Sonatype、GitLab、Wiz、Grype、Neo4j、JFrog、Sysdig、Cloudsmithといった主要なセキュリティおよびDevOpsプラットフォームと提携して、スキャンツール、レジストリ、CI/CDパイプラインとのシームレスな統合を実現している。

　なお、DHIへのアップグレードはDockerfileの1行を更新するだけで実施が可能で、セキュリティを確保しつつ証明書、パッケージ、スクリプト、構成ファイルなどのカスタマイズにも対応する。

　内部的には、ディストリビューションレスの哲学に基づいて、シェル、パッケージマネージャ、デバッグツールといった一般的にリスクをもたらす不要なコンポーネントを排除している。また、アプリケーションの実行に必要な基本的なランタイム依存関係のみを組み込むことによって、より軽量で高速なコンテナを実現するとともにセキュリティと保守を容易にし、攻撃対象領域の大幅な削減によるセキュリティ体制の強化を実現した。

　パッチ適用とアップデートは継続的かつ自動化されており、Dockerはすべての依存関係においてアップストリームソース、OSパッケージ、CVEを監視している。アップデートがリリースされるとDHIは再構築され、徹底的なテストを経てアテステーションとともに公開される。SLSAビルドレベル3準拠のビルドシステムにおける完全性とコンプライアンスが確保されているので、常にもっとも安全かつ検証済みのバージョンを実行でき、手動による介入は不要になる。

　必須コンポーネントはソースから直接構築されているため、重要なパッチをより迅速に提供して脆弱性をすぐに修正可能で、重大度の高いCVEには業界標準の対応時間よりも短い7日以内にパッチが適用されるとともに、エンタープライズグレードのSLAによって保証されるので、さらなる安心を得られる。