目次:
ビデオ: 株式会社博展 - 東芝実績動画 (十一月 2024)
多くのIT管理者は、コンテナをアプリケーション開発(app-dev)ツールセットと見なしています。これには、2つの最も一般的な例が含まれます。 、および管理。 これらは素晴らしいツールですが、app-devコンテキスト以外でそれらを使用する方法を理解することは、日々のIT運用に没頭している管理者にとって難しい質問です。
コンテナがこれをすべて行える理由は、そのアーキテクチャによるものです。 コンテナは仮想化として分類されますが、ほとんどのITスタッフが管理に慣れている仮想マシン(VM)とは異なります。 典型的なVMは、完全なコンピューターとその上で実行されているすべてのアプリを仮想化するか、実際のコンピューターとして通信するだけです。 一方、コンテナは通常、オペレーティングシステム(OS)のみを仮想化します。
コンテナを使用すると、コンテナ内で実行されるアプリは同じマシン上で実行されている他のものを見ることができなくなります。これは、一部の人々がフルオンVMと混同し始める場所です。 コンテナは、ホストOSのカーネル、デバイスドライバー、ネットワーク資産、ファイルシステムなど、アプリの実行に必要なすべてを提供します。
コンテナー管理システム(Dockerなど)がコンテナーを起動すると、OSイメージのリポジトリーからコンテナーがロードされます。各OSイメージは、コンテナー管理者がインストール、検証、カスタマイズする必要があります。 さまざまな目的に特化した多数のイメージがあり、どのイメージをどのワークロードに使用するかを指定できます。 これらの標準イメージの構成をさらにカスタマイズすることもできます。これは、ID管理、ユーザーのアクセス許可、またはその他のセキュリティ設定が心配な場合に非常に便利です。
セキュリティを忘れないでください
カリフォルニア州サンノゼに本拠を置く高性能アナログおよび混合信号集積回路(IC)ソリューションのメーカーであるMaxim Integratedの最高サイバーリスクオフィサーであるMatt Hollcraftと、コンテナがIT運用に与える影響について話し合う機会がありました。
「コンテナの出現により、IT組織は組織にサービスを提供し、クラウドやその他のインフラストラクチャの過負荷を回避できる可能性があります」とHollcraft氏は説明しました。 「彼らはあなたがより流動的な方法でサービスを提供することを可能にします」と彼は言った、彼らは組織がより迅速にスケールアップとダウンを可能にすることを追加した秒。
これは、たとえば、データベース拡張などのビジネスラインワークロードの完全なインスタンスを、仮想サーバー全体をアクティブ化するのにかかる時間のほんの一部で起動または停止できることを意味します。 これは、特に、事前に構成およびカスタマイズされた標準OSイメージを使用してこれらのコンテナーを提供できるため、ビジネスニーズの変化に対するITの応答時間が著しく改善されることを意味します。
それでも、Hollcraftは、コンテナ構成プロセスの標準的な部分としてセキュリティを含めることが重要であると警告しました。 動作させるには、セキュリティはコンテナと同じくらい機敏でなければなりません。 「主な属性は敏ramp性でなければなりません」と、Hollcraft氏は述べています。
コンテナセキュリティに関するサードパーティのヘルプ
Hollcraftは、コンテナをITツールとしてうまく使用するために必要なアジャイルセキュリティプラットフォームを提供し始めているサイバーセキュリティスタートアップがいくつかあると述べました。 コンテナ固有のセキュリティを持つことの利点は、IT管理者が初期のコンテナアーキテクチャプロセスの一部としてセキュリティを組み込むことができることです。
この方法でコンテナセキュリティを機能させるスタートアップの1つはAqua Security Softwareと呼ばれ、コンテナユースケースに特化したMicroEnforcerと呼ばれる新製品を提供しています。 MicroEnforcerは、開発プロセスまたは設定プロセスの早い段階でコンテナに挿入されます。 次に、コンテナが起動されると、セキュリティがコンテナとともに起動します。 コンテナはロードされると変更できないため、セキュリティは維持されます。
Aqua Security Softwareの創設者でありCTOであるAmir Jerbiは、次のように述べています。 彼は、コンテナ内のサービスとしてセキュリティを作成すると述べました。 このようにして、MicroEnforcerは他のコンテナも可視化できます。
「コンテナを見て、コンテナが何をしているのか、どのプロセスが実行されているのか、そして何を読み書きしているのかを正確に見ることができます」とJerbi氏は言います。 さらに、MicroEnforcerは、存在しないはずのコンテナでアクティビティを検出するとアラートを送信でき、それが発生するとコンテナの操作を停止できると付け加えました。
MicroEnforcerが検索できるアクティビティの種類の良い例は、コンテナに注入されたマルウェアです。 これの良い例は、暗号通貨マイニングソフトウェアを実行しているコンテナがシステムに注入される新しいコンテナベースの攻撃の1つである可能性があります。 MicroEnforcerは、そのタイプのアクティビティを検出し、すぐに終了することもできます。
マルウェアとの戦いは、コンテナの内部を簡単に可視化できるため、コンテナの大きな利点の1つです。 これは、操作を監視するのが比較的簡単であり、悪いことを防ぐのが比較的簡単であることを意味します。
コンテナはしばらくの間Linuxのアーキテクチャ要素として利用可能でしたが、Microsoft Windowsでも利用可能であることに注意してください。 実際、MicrosoftはDocker for Windowsのバージョンを提供し、Windows ServerおよびWindows 10でコンテナーを作成する方法についての指示を提供します。
