Dockerは当初から、開発者がソフトウェアを効率的かつ安全に構築、共有、実行できるようにすることに注力してきました。現在、Docker Hub は、毎月 14 00 万を超えるイメージと 11 億を超えるプルにより、世界規模でソフトウェア配信を強化しています。その規模により、最新のソフトウェアがどのように構築され、チームがそれを保護するために直面する課題について、独自の視点を得ることができます。
そのため、セキュリティをプラットフォームの基盤に据えています。信頼できるDocker公式イメージから、透明性のためのSBOMサポート、リアルタイムの脆弱性に関する洞察を得るためのDocker Scoutの立ち上げ、ローカル開発を保護するための強化されたDocker Desktopまで、すべての投資は、ソフトウェアサプライチェーンのセキュリティをよりアクセスしやすく、実用的で、開発者ファーストにするという私たちのコミットメントを反映しています。
現在、私たちはその取り組みをさらに進めています。
Docker Hardened Images (DHI) は、最新の本番環境向けに構築された、デフォルトで安全なコンテナイメージです。
これらの画像は、単にスリムまたはミニマルであるだけではありません。Docker Hardened Images は、攻撃対象領域を最大 95% 縮小して大幅に縮小し、最初から露出を制限することから始めます。各イメージは Docker によってキュレーションおよび保守され、既知の CVE がほぼゼロになるように継続的に最新の状態に保たれます。Alpine や Debian など、広く採用されているディストリビューションをサポートしているため、チームはツールを一新したり互換性を損なったりすることなく、それらを統合できます。
さらに、すでに依存しているツールとシームレスに連携するように設計されています。Microsoft、NGINX、Sonatype、GitLab、Wiz、Grype、Neo4j、JFrog、Sysdig、Cloudsmithなど、さまざまな主要なセキュリティおよびDevOpsプラットフォームと提携し、スキャンツール、レジストリ、CI/CDパイプラインとのシームレスな統合を実現しています。
お客様からの声
私たちは、動きの速いスタートアップ企業からグローバル企業まで、毎日チームと話をしていますが、同じテーマが絶えず出てきています。
「ソフトウェア内のすべてのコンポーネントが主張通りのものであり、改ざんされていないことをどうやって知ることができるのか」という懸念が高まっています。非常に多くの依存関係があるため、自信を持って答えることは難しくなっています。
次に、攻撃対象領域の問題があります。ほとんどのチームは、UbuntuやAlpineなどの汎用ベースイメージから始めます。しかし、時間が経つにつれて、これらのコンテナは不要なパッケージや古いソフトウェアで肥大化し、攻撃者にとってより多くの方法を生み出します。
そしてもちろん、運用上のオーバーヘッドは天井知らずです。セキュリティチームはCVEで溢れかえっています。開発者は、新機能をリリースする代わりに、パッチ適用と再パッチ適用のループから抜け出せなくなっています。脆弱性スキャナーが絶えず点灯し、プラットフォームチームが一元化された依存関係によって手薄になり、開発者が生き残るために手動アップグレードに頼るという話を耳にします。これらの課題は孤立したものではなく、体系的なものです。そして、これらはまさに私たちがDocker Hardened Imagesで対処するために設計したものです。
Docker で強化されたイメージの内部
Docker Hardened Images は、既存のコンテナを単に縮小したバージョンではなく、セキュリティ、効率性、および実際のユーザビリティを念頭に置いてゼロから構築されています。彼らは、彼らがいる場所でチームを満たすように設計されています。ここでは、3つの重要な領域でどのように価値を提供しているかをご紹介します。
シームレスな移行
まず、既存のワークフローにシームレスに統合できます。チームがベースOSを変更したり、Dockerfileを書き換えたり、ツールを放棄したりすることを余儀なくされる他の最小または「安全な」イメージとは異なり、DHIは、開発者がすでに使用しているディストリビューション(おなじみのDebianやAlpineのバリアントを含む)をサポートします。実際、DHIへのアップグレードは簡単です。強化されたイメージへの切り替えは、Dockerfile の 1 行を更新するのと同じくらい簡単です。
柔軟なカスタマイズ
次に、セキュリティと柔軟性の適切なバランスを取ります。セキュリティとは、ユーザビリティを犠牲にすることであってはなりません。DHI は、強化された基盤を損なうことなく、証明書、パッケージ、スクリプト、構成ファイルなど、チームが依存するカスタマイズをサポートします。必要なセキュリティ体制と、環境に合わせてイメージを柔軟に調整できる柔軟性が得られます。
Docker Hardened Imagesは、内部的にはディストリビューションレスの哲学に従っており、シェル、パッケージマネージャー、デバッグツールなど、一般的にリスクをもたらす不要なコンポーネントを取り除きます。これらの追加機能は開発中に役立つかもしれませんが、本番環境の攻撃対象領域を大幅に拡大し、起動時間を遅くし、セキュリティ管理を複雑にします。
DHI は、アプリケーションの実行に必要な基本的なランタイム依存関係のみを含めることで、セキュリティと保守が容易な、よりスリムで高速なコンテナを提供します。この焦点を絞った最小限の設計により、攻撃対象領域が最大 95%減少し、チームはすぐに劇的に強力なセキュリティ体制を構築できます。
自動パッチ適用と迅速なCVE対応
最後に、パッチ適用と更新は継続的かつ自動化されています。Docker は、アップストリーム ソース、OS パッケージ、およびすべての依存関係の CVE を監視します。アップデートがリリースされると、DHI イメージが再構築され、広範なテストが行われ、新しい認証で公開されるため、SLSA ビルド レベル 3に準拠したビルド システム内の整合性とコンプライアンスが確保されます。その結果、常に最も安全で検証済みのバージョンを実行でき、手動による介入は必要ありません。
最も重要なのは、重要なコンポーネントがソースから直接構築されているため、重要なパッチをより迅速に提供し、脆弱性を迅速に修正できることです。「重大」および「深刻度高」のCVEには、一般的な業界の応答時間よりも速い 7 日以内にパッチを適用し、エンタープライズグレードのSLAですべてをバックアップすることで、安心感を高めています。
内部導入: 本番環境での Docker 強化イメージの検証
私たちは、いくつかの主要なプロジェクトでDHIを社内で使用し、実際の本番環境でテストしています。顕著な例の 1 つは、強化された Node イメージの内部使用です。
標準の Node ベース イメージを Docker Hardened Image に置き換えることで、脆弱性がゼロになり、パッケージ数が 98% 以上減少するという、すぐに測定可能な結果が得られました。
パッケージの削減は、画像サイズの問題だけでなく、攻撃対象領域の縮小、管理すべき可動部品の削減、セキュリティチームとプラットフォームチームのオーバーヘッドの大幅な削減に直結します。このシフトにより、セキュリティ体制が強化され、運用の複雑さが簡素化されました。これはまさに、DHIが提供するために設計した結果です。
始める準備はできましたか?
Docker Hardened Images は、攻撃対象領域を大幅に縮小し、パッチ適用を自動化し、既存のワークフローにシームレスに統合することで、自信を持ってソフトウェアを出荷できるように設計されています。開発者は常に構築に集中しています。セキュリティチームは、必要な安心感を得ることができます。
脆弱性の数を減らしたいとお考えですか?
私たちがお手伝いします。私たちと連絡を取り、一緒にソフトウェアサプライチェーンを強化しましょう。