Docker Hardened Images (DHI) Introduction 〜本番環境向けに構築した、デフォルトで安全なコンテナイメージ〜

437 Views

May 30, 25

スライド概要

Docker Hardened Images (DHI) は本番環境向けに構築された、デフォルトで安全なコンテナイメージです。
攻撃対象領域を最大95%削減、CVE がほとんどない状態で提供するほか、エンタープライズレベルの SLA を担保しています。
この資料では DHI がどのようにソフトウェアサプライチェーンの課題を解決することができるのか、その背景からご紹介しています。

https://www.youtube.com/watch?v=OFPo0LmRMlg

profile-image

複数の日系企業でテスト自動化エンジニア・DevOpsエンジニアとして活動した後、プリセールスエンジニアとして DevOps、CI/CD、自動テストを中心にお客様の技術支援や技術発信を行ってきました。2024年日本拠点1人目のプリセールスエンジニアとして Docker に入社。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

各ページのテキスト
1.

Docker Hardened Images(DHI) Introduction 本番環境向けに構築した、デフォルトで安全なコンテナイメージ Tadashi Nemoto Strategic Solutions Engineer

2.

コンテナイメージと ソフトウェアサプライチェーン

3.

ソフトウェアサプライチェーン https://anchore.com/software-supply-chain-security/what-is-sscs/

4.

ソフトウェアサプライチェーン 自社で作成したコンテナアプリケーションと、 Nginx, PostgreSQL, Redis など サードパーティーアプリケーションをコンテナで動かした場合のどちらも影響を受ける https://anchore.com/software-supply-chain-security/what-is-sscs/

5.

脆弱性(CVEs)は増え続け、対応コストも増え続ける

6.

現状開発チームが行っている対応策 1. 脆弱性スキャンを使う (Wiz, Snyk, Trivy, Docker Scout) ○ 2. 3. 個々で脆弱性対応を行う ○ 統一して対応できていない、特にどのイメージを使えばいいのか ○ リスクがあるプロジェクトが放置 「ゴールデンイメージ」を社内チームで作成・メンテナンス ○ 4. 脆弱性を後からスキャンして修正するため、大量の脆弱性対応に追われる 提供するイメージに抜け漏れがあり、開発チームが使わなくなる 外部セキュリティベンダーに依存する ○ 高額、実施頻度がオープンソースの変化に間に合わない

7.

現状開発チームが行っている対応策 1. 脆弱性スキャンを使う (Wiz, Snyk, Trivy, Docker Scout) ○ 2. 3. シンプルに 脆弱性を後からスキャンして修正するため、大量の脆弱性対応に追われる 個々で脆弱性対応を行う コストパフォーマンス高く ○ 統一して対応できていない、特にどのイメージを使えばいいのか ○ リスクがあるプロジェクトが放置 効果的(根本的)に 「ゴールデンイメージ」を社内チームで作成・メンテナンス ○ 提供するイメージに抜け漏れがあり、開発チームが使わなくなる ○ 高額、実施頻度がオープンソースの変化に間に合わない ソフトウェアサプライチェーン問題を解決 4. 外部セキュリティベンダーに依存する

8.

Docker Hardened Images

9.

イメージを最小構成にし、CVEs がほとんどない状態で提供 Critical / High の CVE は SLA として7日以内に修正 SBOMs, provenance, SLSA などを標準搭載

10.

DHI のアプローチ 極限に小さいイメージ

11.

Linux ディストリビューションの互換性 More coming

12.

柔軟なカスタマイズ

13.

シームレスな移行

14.

DevSecOps スタックとの連携

15.

Node.js の DHI へ移行することによる脆弱性の減少 Before 脆弱性(CVEs)の減少 After 141 ➡ 0 依存パッケージの減少 748 ➡ 12

16.

Thank you!!