高度なコンテナセキュリティのベストプラクティス [チートシート]
チートシートを入手する
主な要点
- セキュリティはイメージスキャンだけに留まらない:デプロイ前のスキャンは不可欠ですが、実行時(ランタイム)の脅威や設定ミスに対しては、多層防御のアプローチが必要です。
- 組み込みツールやオープンソースツールの活用:OPAからTetragon、VaultからCosignまで、このチートシートでは、コンテナセキュリティの自動化とオブザーバビリティ(可観測性)を実現するための主要ツールの具体的な活用例を紹介しています。
- 環境固有のガイダンスの重要性:セキュリティのベストプラクティスは、Kubernetes、Docker、OpenShift、またはFargateのようなサーバーレスコンテナサービスのどれを使用しているかによって異なります。
このチートシートを読むことで、以下のことが可能になります:
コンテナセキュリティの強化: 実証済みの手法を用いて、ビルド、デプロイ、ランタイムの各ステージでセキュリティを強化できます。
ゼロトラスト原則の適用: コンテナレベルの侵入検知や、サービス間通信の保護を実現できます。
適切なツールの選定: Kubernetes、Docker、またはクラウドネイティブな環境に合わせて、最適なオープンソースツールやポリシーを適用できます。
このチートシートの対象者:
DevSecOps およびセキュリティエンジニア: コンテナの基礎以上の知識を習得したい方。
プラットフォームチーム: Kubernetes、Docker、OpenShift 環境を管理している方。
クラウドセキュリティアーキテクト: 複数のコンテナプラットフォームにわたってポリシーを適用する方。
SDLC 全体にわたってコンテナワークロードを保護するすべての方。
主な内容:
有効期限の短いシークレット管理: Vault などのツールを使用してシークレットを自動更新し、漏洩リスクを最小限に抑えます。
サービス間通信の保護: サービスメッシュや mTLS を使用して、内部コンテナトラフィックを暗号化および認証します。
eBPF によるランタイム脅威検知: Tetragon などのツールを使用して、コンテナの挙動をリアルタイムで監視します。
侵入検知ポリシー: コンテナレベルでの不審な TCP 接続などの異常なアクティビティを検知します。
コンテナ向けゼロトラストアーキテクチャ: OPA を使用して厳格なアクセス権限を適用し、内部リクエストを含むすべての要求を検証します。
自動化されたセキュリティ強制: 公開ポートやルートコンテナなどのリスクのある設定を、デプロイ前に未然に防ぎます。
アドミッションコントローラーとイメージ署名: API レイヤーで不正な設定をブロックし、信頼できるイメージのみが使用されるようにします。
環境別のベストプラクティス: Kubernetes、Docker、OpenShift、およびクラウドサービス(EKS、ECS、Fargate)に特化したセキュリティチェックリスト。
パーソナライズされたデモを見る
実際に Wiz を見てみませんか?
"私が今まで見た中で最高のユーザーエクスペリエンスは、クラウドワークロードを完全に可視化します。"
デビッド・エストリックCISO (最高情報責任者)
"Wiz を使えば、クラウド環境で何が起こっているかを 1 つの画面で確認することができます"
アダム・フレッチャーチーフ・セキュリティ・オフィサー
"Wizが何かを重要視した場合、それは実際に重要であることを私たちは知っています。"
グレッグ・ポニャトフスキ脅威および脆弱性管理責任者