2つの新しいオープンソースセキュリティプロジェクトがクラウドネイティブコンピューティング財団に加わります
トム・クレイジット著
現代のオープンソース クラウド コンピューティング標準の中心となる組織は、新たに 2 つのプロジェクトを傘下に収め、初めてコンテナ セキュリティに取り組みました。
Cloud Native Computing Foundationのメンバーは、NotaryとTUFをグループに吸収することを決議しました。火曜日にプラハで開催されるOpen Source Summit Europeで発表される予定です。最初のプロジェクトとなるNotaryは、適切なコンテナが適切な場所で実行されることを保証するThe Update Framework(TUF)仕様の実装です。
NotaryはDockerで開発され、ソフトウェア開発チームがコンテナに証明書で「署名」することで、作成者がそのコンテナをデプロイする権限を持つ人物であることを証明できると、DockerのセキュリティディレクターであるNathan McCauley氏は述べています。また、Notaryはコンテナが途中で改ざんされていないことも検証し、ソフトウェア開発プロセスを進める中で複数の署名をコンテナに付与できます。
これは、火曜日にCNCFに加わる2番目のプロジェクトであるTUFをベースにしています。TUFは、ジャスティン・カポス氏がワシントン大学の研究者時代に開発し、ニューヨーク大学の教授時代に改良を重ねた仕様です。
TUFとNotaryの関係は、HTTPプロトコルとウェブブラウザの関係に似ていると彼は言いました。HTTPはすべての動作を実現する基盤となる仕組みですが、ブラウザがなければ実際には役に立ちません。
TUFは、攻撃者がサーバーに侵入できたとしても、ネットワーク全体に侵入することを困難にする、とカポス氏は述べた。TUFは、ソフトウェアコンポーネントの開発時に異なる種類の暗号鍵を割り当てる方法を提供することでこれを実現する。そのため、1つの鍵またはサーバーが侵害されても、ネットワーク全体が崩壊することはない。
コンテナセキュリティは、アプリケーションのコンテナ化を検討しているチームにとって初期の懸念事項でした。しかし、コンテナの台頭とほぼ同義であるDockerは、こうした懸念を軽減することを目指して、2015年にDocker Content Trustを開発しました。それ以来、コンテナの導入は爆発的に増加しており、DockerはNotaryによって、コンテナ関連の製品やサービスに取り組む他のチームがより優れたセキュリティ対策を実装できるようになることを期待していると、McCaley氏は述べています。
「優れたセキュリティソリューションはごくわずかです」と彼は言った。「優れたソリューションがCNCFに採用されることは、私たちにとっても良いことです。」
Dockerをはじめ、クラウドコンピューティングに関わるほぼすべての主要企業がプラチナメンバーとなっているCNCFは、現在14のオープンソースプロジェクトを管理しています。コンテナオーケストレーターのKubernetesは、この財団の旗艦プロジェクトであり、選出されたプロジェクトに開発リソースを提供しています。
McCauley 氏は、Notary が CNCF に受け入れられた最初のセキュリティ重視のプロジェクトであることを考えると、Kubernetes のセキュリティを完全に掌握できるかどうかを知るのは時期尚早だと述べたが、最近の Kubernetes はより分散化された方向に進んでおり、ユーザーが基本プロジェクトにカスタム コンポーネントを組み込めるようになっていると指摘した。
