Docker Hardened Images × JFrog ～セキュアなコンテナーを標準にする方法

Docker コンテナーのセキュリティ対策が、これまで以上に取り組みやすくなりました。12 月 17 日、Docker は、これまで有償提供されていた 1,000 以上の Docker Hardened Images (DHI) を、無償かつオープンソースとして公開すると発表しました。

この変更により、すべての開発者が、CVE をほぼ含まない最小構成で、SLSA Level 3 に準拠したベースイメージを使って Dockerfile を作成できるようになります。JFrog を Docker レジストリとして利用している場合、既存のワークフローにそのまま組み込むことで、スムーズに活用できます。

JFrog は、ソフトウェアのビルドから配布、実行までを一貫して管理できる DevOps/DevSecOps プラットフォームです。アーティファクト管理を中核に、コンテナーイメージやパッケージ、バイナリを安全かつ一元的に管理できます。中でも JFrog Artifactory は、Docker レジストリとして利用できるだけでなく、外部レジストリへのアクセスを集約、制御する役割も担い、企業規模でのセキュアなコンテナー運用を支えます。

JFrog の詳細はこちら。

JFrog で Docker Hardened Images を利用するには

Docker Hardened Images は誰でも利用できますが、取得時には Docker Hub への認証が必要です。個人開発であれば大きな負担にはなりませんが、多数の開発者や CI/CD パイプラインを抱える企業では、認証管理が課題になりがちです。

JFrog Artifactory を介して Docker Hub への通信をまとめることで、認証を一元管理できます。Artifactory をキャッシュプロキシとして使えば、各開発環境で個別に認証情報を設定する必要がなく、レート制限を気にすることもありません。

3 ステップで始める Docker Hardened Images

ステップ 1: 認証付きのリモートリポジトリを作成します。Docker Hardened Images 専用の Docker Remote Repository を Artifactory に設定してください。Docker Hardened Images は、通常の Docker Hub とは異なる専用 URL で提供されているため、このタイミングで Docker Hub の認証情報を一度だけ登録します。これにより、Artifactory が認証済みユーザーとして Docker にアクセスできるようになります。

ステップ 2: これまで利用している匿名のリモートリポジトリを引き続き使用します。認証が不要な一般公開イメージについては、既存の接続設定を変更する必要はありません。JFrog SaaS を利用している場合、これらのイメージは引き続き高速かつ無制限で取得できます。

ステップ 3: 2 つのリモートリポジトリを 1 つの Docker Virtual Repository にまとめます。開発者は Docker クライアントの設定を 1 つの URL に向けるだけで済み、あとは Artifactory が自動的にルーティングを行います。Docker Hardened Images は認証付きで取得され、それ以外のイメージは匿名で取得されます。

詳しい設定方法については、JFrog のドキュメントをご確認ください。

セキュアに始めて、セキュアを保つ

Hardened Images をベースイメージに選ぶことは、コンテナー作成の最初の段階からセキュリティを意識する、いわゆる「シフトレフト」を実践する有効な方法です。ただし、コンテナーの安全性はそれだけで完結するものではありません。

必要な脆弱性だけを可視化
JFrog Xray や JFrog Advanced Security を使えば、追加されたレイヤーをスキャンし、実際に対処が必要な脆弱性に集中できます。
ランタイムでの継続的な監視
実行中のコンテナーを継続的に監視し、ランタイム中にセキュリティ状態が変化した場合もすぐに検知できます。
ガバナンスとコンプライアンス対応
JFrog AppTrust により、SDLC 全体を通じてアプリケーションとコンポーネントを管理できます。FedRAMP、HIPAA、PCI DSS などの要件も、証跡に基づくポリシーとしてプロセスに組み込めます。