コメントコンテナ化されたアプリは、ストレージやセキュリティなどのコンテナ化されたシステム サービスを使用するようになります。
DevOpsの世界では、コンテナ化されたアプリはホスト内で実行され、セキュリティやストレージなどのシステムサービスもコンテナ化されます。この理想的な世界以外では、これらのサービスはインターフェースコードによってコンテナにリンクされることが多く、新しいコンテナ化されたアプリでも従来のストレージやセキュリティを利用できるようになります。
Minio や NeuVector などのスタートアップ企業は、ストレージとセキュリティをコンテナ化されたエンティティとして再発明しており、自社の技術によって開発者がストレージ容量とセキュリティ メカニズムをコンテナ化されたアプリに組み込むのが容易になると主張しています。
ストレージの世界では、Atlantis、* CloudByte、Nexenta、Red Hat など、複数のサプライヤーがステートレス コンテナーに永続ストレージを追加する方法を提供しています。
Minio の何が特別ですか?
同社はオープンソースの「オブジェクトストレージのMySQL」と呼ぶ製品を提供しており、現在一般提供されているµServer製品は、オンプレミスのCOTSサーバーおよびストレージ上のVMまたはコンテナ内で動作する軽量コードです。共同創業者のアナンド・バブ(AB)・ペリアサミー氏は次のように述べています。「当社のダウンロードの90%以上はDocker上で行われています。オブジェクトストレージはコンテナとしてプロビジョニングしており、Minioはサービスとして利用されています。」
Minioの強みの一つは、455,000回以上のDocker pull実績を誇る人気の高さです。主な機能は以下の通りです。
- S3 v2 と v4 API の両方をサポートする Amazon S3 互換性。
- データ保護 – Minio は、消去コードとビットロット保護機能を使用して、サーバーとドライブの最大半数の障害に耐えます。
- AWS互換のLambda関数は、サムネイル生成、メタデータ抽出、ウイルススキャンなどのアクションでサポートされています。通知は、AMQP、Elasticsearch、Redis、NATS、WebHooks、Kafka、Postgresなどの様々な主要フレームワークと、ネイティブなHTTPロングポーリングを介してサポートされています。
- レプリケーション。
- 自動的に期限切れになります。
ここからダウンロードできます。
Minioの使用を示すコード例
安全
NeuVector社は、コンテナがマルウェア攻撃者にとって新たな攻撃対象領域となる可能性があると指摘しています。例えば、同社のコンテナセキュリティガイドでは、「データベースコンテナの所有権を取得してデータの窃盗を開始するSQLインジェクション攻撃」や、「リモート攻撃者がコンテナ内で任意のコードを実行できるシェルショックbashのバグ」の可能性が示唆されています。
コンテナセキュリティに対する同社の製品ソリューションは、まさにコンテナそのものです。設定は一切不要で、コンテナトラフィックを完全に分離するアプリケーション層セグメンテーションを提供し、ランタイム学習アプローチによってセキュリティ脅威を常に最新の状態に保ちます。NeuVector社によると、コンテナ向けの分散ファイアウォールを提供し、アプリケーション層インテリジェンスによって真のL3-L7ネットワークインスペクションを実現します。
NeuVectorのセキュリティコンテナアプリは、「コンテナのスケールアップやスケールダウン中でも、正常な動作を自動的に学習してホワイトリスト化し、環境を保護する」とのことです。また、「異常な接続は…被害が発生する前にプロアクティブかつ自動的に検出・ブロックできます。実行中のすべてのコンテナとホストに対してランタイム脆弱性スキャンが実行され、DDoS攻撃、DNS攻撃などの脅威検出機能も搭載されています」と主張しています。
NeuVectorのCEO、フェイ・フアン氏は、自身のアプローチを次のようにアピールしています。「セキュリティチームがDevOpsに対応するには、iptablesの検査やルールの更新に追われるわけにはいきません。私たちが設計したのは、アプリケーションの動作をリアルタイムで理解できるほどインテリジェントなセキュリティコンテナです。Dockerコンテナ環境を不要なトラフィックや悪意のあるトラフィックから保護する、これより高速、簡単、そして安全な方法は他にありません。」
同社は、「NeuVector は、コンテナへの正常なトラフィックに影響を与えずに、疑わしいコンテナ トラフィックのみをブロックできる」と主張しており、これは「誤検知が発生しやすい他のコンテナ セキュリティ製品とは異なる」とのことです。
Container Solutions のテクノロジー ディレクターの Michael Mueller 氏は、NeuVector 製品は「コーディングやエージェントを必要とせず、新規または既存のアプリケーションに簡単に導入できる」と述べています。
統合セキュリティ企業G4SのCIO、スティーブ・オドネル氏は次のように述べています。「コンテナ中心のDevOpsプロセスが持つ、実績のある俊敏性と市場投入までのスピードを損なうことなく、セキュリティコンプライアンスを確保する必要があります。そこで、コンテナのセキュリティを提供するDevOpsアプローチ、つまりコンテナがコンテナサービスとして利用できるコンテナ化されたセキュリティサービスを検討しています。」
NeuVector セキュリティ監査のスクリーンショット
上の画像はコンテナセキュリティ監査の結果です。48時間実行され、2つの脅威、複数のソースとターゲット、そして138件の優先度の高い脆弱性が見つかりました。
新しいコンテナ化の信奉者にとって、セキュリティやストレージといったシステムレベルの機能のためにネイティブのコンテナ化サービスにアクセスできるほど良いのです。MinioとNeuVectorは、文字通りDevOpsの言語を話し、DevOps文化を体現し、その哲学を信じていると述べています。彼らの世界観では、成長の鍵は開発者の心と精神であり、旧来型のエンタープライズIT部門からビジネスを獲得することではないと考えています。
AtlantisとNexentaはこの考え方を理解し、DevOpsスタイルに対応したストレージ製品を開発しました。他のセキュリティ製品サプライヤーもNeuVectorに倣うことを期待しています。®
* Atlantis は Rancher Labs と提携して、コンテナのコンピューティング、ネットワーク、ストレージ、データ サービスを管理およびプロビジョニングするソフトウェア製品を構築しています。
