今回から、Podやコンテナのセキュリティについて学習したことをまとめていきたいと思います。
なぜそんなことをしようと思ったのかといいますと、たまたまPodを実際に外部公開して使いましょう
となった場合、セキュリティの考え方は従来通りでいいんだろうか?
Podやコンテナにアンチウィルスソフトとかって入れるの? それってどうなんだろ?
という事を考えて気になり始めたので、実際に調べてみたところだいぶ考え方が違うしやる事も違う
という事がわかったためです。
従来のWindows OSなどでは、パッチを適用したりアンチウィルスを入れてスキャンしたり、ファイアウォールで
防御したりという事がセキュリティ的な対応としてすぐに思いつく事ではないでしょうか。
しかし、コンテナやPodでは少々事情が異なります。
コンテナやPodというのは、使いたいOSやアプリのイメージを使用して構築します。
この時に、脆弱性のチェックを行って脆弱性の対応が済んでいる状態のイメージを使用することで脆弱性の対応を
完了してしまうのです。
時間がたてば、新しい脆弱性等が発見されたりしますので、その際は対応を行ったイメージを再度作成しそれを利用する。
こういった作業を繰り返すのがPodやコンテナにおける脆弱性への対応の一つとなります。
使うイメージの状態に問題がなければ大丈夫という考え方という事ですね。
外部からアクセスされて乗っ取られたらどうするかという部分については、コンテナやPod内で動くユーザーを、非root
権限のユーザーにするといった対応を行っていくことになります。
今後、このブログでは、イメージの脆弱性を確認するツール、イメージのマルウェアを確認するツール、外部リポジトリ
を使用した脆弱性対応などについて調べたり確認したことを書いていこうと思いますので、ご興味ありましたら読んでみてください。
