Dockerコンテナのセキュリティ：Ubuntu Pro で FIPS 対応コンテナの謎を解く

by Canonical on 30 June 2023

急速に変化するデジタル時代において、Dockerコンテナの強固なセキュリティ対策は極めて重要です。コンテナ化された層にもコンプライアンスの基準が適用され、セキュリティとコンプライアンスの要件は一層厳しくなりました。

Dockerコンテナのセキュリティ対策には、アプライアンス型の軽量コンテナ（コードと依存ファイルをカプセル化したもの）を脅威や脆弱性から保護することも含まれます。

機密性の高い個人データを取り扱う公共衛生などの分野では、セキュリティ対策に加えてコンプライアンス規格（FIPSなど）が、計画的なアプローチで侵害の防止、顧客の信用確保、賠償の回避に貢献します。

これには、強固なアクセス制限（rootユーザーの使用を完全に禁止するなど）、総合的な脆弱性管理、攻撃対象領域の縮小、不可避のCVEに適切かつ速やかに対処することなどが含まれます。

Dockerコンテナのセキュリティ向上：コンテナにおけるFIPSの有効化

Ubuntu Proツールを使用すればDockerコンテナにFIPSを簡単に導入できます。かつては面倒だった作業も、作成時の秘策（Dockerビルドキット）で楽になりました。

このほどCanonicalは、FIPS対応Ubuntuコンテナを簡単に作成し、各種のクラウドプラットフォームでデプロイするための技術説明書を公開しました。

• FIPS対応のUbuntuコンテナイメージを作成するには
• Ubuntu Proを使用してEKS、AKS、GCP、その他のKubernetesでFIPSコンテナをデプロイするには

Ubuntu Proのメリット

このようなFIPS対応Ubuntuコンテナを作成する第一歩はUbuntu Proのサブスクリプションです。作成したコンテンツを再配布することはできませんが、実行すればすべてのホスト（クラスターワーカーノードを含む）がUbuntu Proサブスクリプションの対象となります。

Ubuntu Proは、オープンソースソフトウェアのセキュリティおよびDockerコンテナのセキュリティとコンプライアンス強化へのあらゆる道を開きます。簡単で充実したセキュリティ更新、10年間のメンテナンス、セキュリティコンプライアンス、すべてを1つのサブスクリプションプランでご利用ください。

今後の展望：Chisel/chiselled Ubuntuコンテナイメージ

昨年8月、Canonicalは「chiselled Ubuntu」コンテナを発表しました。これらのコンテナイメージは、ディストロレスと通常の（ディストロフル）Ubuntuの利点を兼ね備え、開発から運用までシームレスな使い勝手を誇ります。

Chiselled Ubuntuコンテナは「Chisel」ツールで作成します。これは、アップストリームのUbuntuのコンテンツとパッケージ知識を再利用し、さらにその他の知識を重ねて、開発者が考えすぎたりメンテナンスを心配したりせず、アプライアンス型のディストロレスコンテナを作成するための「from-scratch」パッケージマネージャーです。

Chisel/chiselled UbuntuコンテナイメージへのFIPSサポート到来をお楽しみに！