Docker Hardened Images (DHI) Introduction 〜本番環境向けに構築した、デフォルトで安全なコンテナイメージ〜
1.2K Views
May 30, 25
スライド概要
Docker Hardened Images (DHI) は本番環境向けに構築された、デフォルトで安全なコンテナイメージです。
攻撃対象領域を最大95%削減、CVE がほとんどない状態で提供するほか、エンタープライズレベルの SLA を担保しています。
この資料では DHI がどのようにソフトウェアサプライチェーンの課題を解決することができるのか、その背景からご紹介しています。
https://www.youtube.com/watch?v=OFPo0LmRMlg
複数の日系企業でテスト自動化エンジニア・DevOpsエンジニアとして活動した後、プリセールスエンジニアとして DevOps、CI/CD、自動テストを中心にお客様の技術支援や技術発信を行ってきました。2024年日本拠点1人目のプリセールスエンジニアとして Docker に入社。
関連スライド
各ページのテキスト
Docker Hardened Images(DHI) Introduction 本番環境向けに構築した、デフォルトで安全なコンテナイメージ Tadashi Nemoto Strategic Solutions Engineer
コンテナイメージと ソフトウェアサプライチェーン
ソフトウェアサプライチェーン https://anchore.com/software-supply-chain-security/what-is-sscs/
ソフトウェアサプライチェーン 自社で作成したコンテナアプリケーションと、 Nginx, PostgreSQL, Redis など サードパーティーアプリケーションをコンテナで動かした場合のどちらも影響を受ける https://anchore.com/software-supply-chain-security/what-is-sscs/
脆弱性(CVEs)は増え続け、対応コストも増え続ける
現状開発チームが行っている対応策 1. 脆弱性スキャンを使う (Wiz, Snyk, Trivy, Docker Scout) ○ 2. 3. 個々で脆弱性対応を行う ○ 統一して対応できていない、特にどのイメージを使えばいいのか ○ リスクがあるプロジェクトが放置 「ゴールデンイメージ」を社内チームで作成・メンテナンス ○ 4. 脆弱性を後からスキャンして修正するため、大量の脆弱性対応に追われる 提供するイメージに抜け漏れがあり、開発チームが使わなくなる 外部セキュリティベンダーに依存する ○ 高額、実施頻度がオープンソースの変化に間に合わない
現状開発チームが行っている対応策 1. 脆弱性スキャンを使う (Wiz, Snyk, Trivy, Docker Scout) ○ 2. 3. シンプルに 脆弱性を後からスキャンして修正するため、大量の脆弱性対応に追われる 個々で脆弱性対応を行う コストパフォーマンス高く ○ 統一して対応できていない、特にどのイメージを使えばいいのか ○ リスクがあるプロジェクトが放置 効果的(根本的)に 「ゴールデンイメージ」を社内チームで作成・メンテナンス ○ 提供するイメージに抜け漏れがあり、開発チームが使わなくなる ○ 高額、実施頻度がオープンソースの変化に間に合わない ソフトウェアサプライチェーン問題を解決 4. 外部セキュリティベンダーに依存する
Docker Hardened Images
イメージを最小構成にし、CVEs がほとんどない状態で提供 Critical / High の CVE は SLA として7日以内に修正 SBOMs, provenance, SLSA などを標準搭載
DHI のアプローチ 極限に小さいイメージ
Linux ディストリビューションの互換性 More coming
柔軟なカスタマイズ
シームレスな移行
DevSecOps スタックとの連携
Node.js の DHI へ移行することによる脆弱性の減少 Before 脆弱性(CVEs)の減少 After 141 ➡ 0 依存パッケージの減少 748 ➡ 12
Thank you!!