コンテナセキュリティ

コンテナセキュリティが重要な理由

容器安全是非常重要的，因为在云工作负载环境中技术的运行是非常复杂的。。容器是许多连接到今天公共互联网的应用程序的基础。。因此，容器安全一旦疏忽，应用程序就会面临各种风险。。デジタル資産のコンテナ化に伴うリスクは管理可能で、以下の方法で軽減できます。

• シフトレフト: 为了解决团队之间的沟通和“摩擦”问题，在构建的初期阶段就将安全纳入流程，在影响最终产品之前找出缺陷和配置错误是很重要的。。
• ビルドから実行時までコンテナを保護：コンテナセキュリティはデプロイメント時点で終わるわけではありません。本番環境で稼働しているコンテナの監視は、その一時的な性質から最重要となります。安全解决方案可以在运行时持续提供容器的可视性和评估，这对于识别容器环境的风险和威胁是非常重要的。。
• 適切なツールの活用:継続的なセキュリティと監視をコンテナ環境に統合するための適切な組み合わせは何ですか?如上所述，与开发人员的计划和日程进行沟通可以帮助你确定将安全集成到容器化构建过程中的位置和频率。。 这是对云供应商提供的安全和工具，以及内部团队可以为流程带来的一系列工具和解决方案的比较，以及这两个安全层如何协调工作特别是在研究的时候。。

コンテナセキュリティのベストプラクティス

现在我们已经了解了容器运营的概况，以及为什么近年来越来越多的人关注容器运营，现在我们来看看如何引入这些保护环境的最佳实践。。

実行時の安全性

我们不仅要确保容器和图像的稳定扫描，还要确保容器运行时的安全。。セキュリティは継続的に行われ、開発時にセキュリティを完全に保証できません。因此，在存在问题的情况下，能够修正并应该进行修正的时间是部署之后。。

ベースまたは「ゴールデン」イメージを定期的にスキャンする

CI/CD環境では、常に脆弱性が発生する可能性があります。何か月も発見されないままの脆弱性が突如現れることもあります。当你定期部署和更新时，确保安全团队尽可能发现所有的漏洞是很重要的。。定期扫描来识别容器安全程序的脆弱性是必不可少的。容器图像扫描通常会参考漏洞利用数据库，包括公开的漏洞列表。。

コードとその依存関係をセキュリティで保護する

基础设施越来越细分化，越来越短，越来越依赖代码，而不是物理机。。因此，监控容器的脆弱性对系统的健康起着非常重要的作用。。即使完成了所有的测试并通过了，在部署后的测试中也有可能出现问题，因此在整个CI/CD管道中使用具有一致安全检查的解决方案是非常重要的。利玛窦。这样团队就可以在不延迟部署的情况下修正错误设置和策略违反。。

コンテナオーケストレーションのガードレールを確立する

开始在虚拟世界中运行的决定对于DevOps组织来说是一个转折点，容器有很多优点。。我建议企业在投资这些基础设施的时候，从应用层开始保护基础设施，设定容器供应的标准方法。。实时监控和跟踪重要容器事件，从而优化应用程序的性能。。为了完成这个过程，最好的方法是对运行中的所有容器进行实时性能监控和分析，包括CPU、内存和网络使用量。。

広範なIAM戦略にコンテナを含める

与其他云资源一样，容器及其内部运行的进程需要ID和访问管理(IAM)计划， 最小特権アクセス(LPA) に従って追跡および管理する必要があるロール/権限が割り当てられます。DevSecOps当组织调整了新的多云容器环境后，他们需要限制只访问他们需要的人。。IAM是确保云和容器服务安全合规的关键。。 它还有助于建立合理的、可持续的方法来应对边界的流动性和管理大规模云环境的巨大挑战。。

一般的なクラウドコンテナプラットフォーム

客户可以在与云服务提供商(CSP)签约时选择供应商，容器运行时间和容器约定平台有多种选择。。但是，考虑到CSP的容器管理产品有很多，在基础云平台上选择有适当支持的解决方案是很重要的。。

Docker Engine 

Docker是在2013年推出的一款产品，提供在容器中封装和运行应用程序的功能。。这个平台允许用户在工作时共享容器，所有人都可以展示和操作相同的容器和功能。。開発、配布、テスト、デプロイメントを通じたコンテナのライフサイクル管理に役立ちます。

Kubernetes

Kubernetes是一个开源容器编排平台，用于管理工作负载和服务。。Kubernetes负责容器的部署，并管理软件定义的网络层，以便容器能够相互通信。。移植性があるプラットフォームで、宣言的な構成と自動化を容易にします。Googleは2014 年にKubernetesプロジェクトをオープンソース化しました。

Google Kubernetes Engine

Google Kubernetes Engine（GKE）是运行2018年发布的Docker容器的类管理员编排系统，与本地、混合、公有云基础设施相结合，在虚拟机器上它可以管理容器集群并快速部署。。GKE可以按照声明的容器进行调度，并有效地管理应用程序。。

Amazon Elastic Container Service

Amazon Elastic Container Service（ECS）是2014年开始提供的服务，与AWS平台的其他部分集成，设计成在云端和本地运行容器工作负载。。ECS在整个环境中提供一致的工具，管理和工作负载的调度和监控。。ユーザーは、リソースのニーズと可用性に応じて可用性ゾーン全体でアプリを自動的にスケーリングしたり、コンテナを自由に配置できます。

コンテナセキュリティの一般的な課題

我已经简单地说明了，这些云容器环境的后台可能会变得复杂。。近年来，提供商都把易用性放在首位，而大部分的复杂性都被推到了后台，但用户仍然需要意识到如何用安全保护这样的环境。。セキュリティを修正する方法を知るためには、その仕組みをまず押さえるべきです。コンテナのセキュリティに関する一般的な課題をいくつか見てみましょう。

• スキャンの成熟度の欠如: SANS Instituteの最近の調査では安全团队在在本地环境中实施强大的脆弱性管理(VM)过程方面取得了巨大的进步，但是最新的云和容器化环境的复杂性仍然落后。。 当然，这与为处理动态云环境而建立的解决方案不同，部分原因在于传统的VM工具变得无处不在。。 这部分原因是，相对于能够扫描整个分布式网络的更动态的解决方案，组织依赖于可能已经在运行的传统扫描技术。。
• 拡張の容易さ容器支持的微服务在性质上是短暂的、广泛分散的，随着环境的急剧增长，可能会变得难以追赶。。这在云民主化的推动下变得更加糟糕，越来越多的用户拥有以自己的方式提供资源的能力。。因此，在排除故障时，很难把握应该确认哪里，谁“拥有”脆弱的资源，谁能够解决问题。。因为云和容器平台可以实现快速增长，所以为了不失去控制，安全性也需要应对这种增长。。
• 人材と文化:你可能很难找到一个合适的人才，他拥有必要的技能，可以适当地、持续地、切实地降低容器的暂时性风险。。安全团队可能不太了解微服务和容器上的最新云架构。。因为这些技术都处于非常早期的阶段，所以很多有才华的工程师都是这样做的。。セキュリティ オペレーションセンター（SOC）がこうした問題に対処するにはマネージドサービスソリューションが役立ちます。

クラウドセキュリティについてもっと読む

2022年クラウド誤設定レポート：最新のクラウドセキュリティ侵害と攻撃の傾向

クラウドセキュリティ：ブログからの最新ニュース