コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術（インプレス） [電子書籍]Ω

■スペシャリストが執筆したコンテナセキュリティ要素技術の解説書！本書は、Liz Rice『Container Security:Fundamental Technology Concepts that Protect Containerized Applications』OReilly Media, Inc.の翻訳書です。スケーラビリティと復元力を促進するために、現在多くの組織がコンテナとオーケストレーションを使用してクラウドネイティブ環境でアプリケーションを実行しています。しかし、そのデプロイの安全性については、どのように判断すれば良いのでしょうか。本書は、開発者、運用者、セキュリティ専門家がセキュリティリスクを評価し、適切なソリューションを決定するために、コンテナの主要な要素技術を検証する実践的な書籍です。著者のLiz Rice（Isovalent社 Chief Open Source Officer）は、コンテナベースのシステムでよく使われるビルディングブロックが Linuxでどのように構築されているかに着目しています。コンテナをデプロイする際に何が起きているかを理解し、デプロイされたアプリケーションに影響を与える可能性のある潜在的なセキュリティリスクを評価する方法を学ぶことができます。コンテナアプリケーションをkubectlやdockerで実行し、psやgrepなどのLinuxコマンドラインツールを使用していれば、すぐにでも始めることができます。○コンテナへの攻撃経路について知る○コンテナを支えるLinuxの構造について知る○コンテナの堅牢化のための方法を検討○設定ミスによるコンテナへの侵害の危険性を理解する○コンテナイメージビルドのベストプラクティスを学ぶ○既知のソフトウェア脆弱性を持つコンテナイメージを特定する○コンテナ間のセキュアな接続を活用する○セキュリティツールを使用して、デプロイされたアプリケーションに対する攻撃を防止する▼本書の特徴○コンテナセキュリティのスペシャリストが執筆した解説書○コンテナのセキュリティの要素技術を学ぶことができる○コンテナの仕組みと脆弱性（開発・運用時に注意すべき箇所）、その対策方法がわかる▼対象読者○コンテナのセキュリティの要素技術に興味がある人○コンテナ化を行う開発者・運用者目次表紙本書情報および正誤表のWebページ監訳者のことばまえがきChapter 1 コンテナセキュリティの脅威1.1 リスク、脅威、緩和策1.2 コンテナ脅威モデル1.3 セキュリティ境界1.4 マルチテナント1.5 セキュリティの原則1.6 まとめChapter 2 Linuxシステムコール、パーミッション、capability2.1 システムコール2.2 ファイルパーミッション2.3 capability2.4 権限昇格2.5 まとめChapter 3 コントロールグループ3.1 cgroupの階層3.2 cgroupの作成3.3 リソースの上限設定3.4 cgroupへのプロセス割り当て3.5 Dockerにおけるcgroupの利用3.6 cgroup v23.7 まとめChapter 4 コンテナの分離4.1 namespace4.2 ホスト名の分離4.3 プロセスIDの分離4.4 rootディレクトリの変更4.5 namespaceとrootディレクトリの変更の組み合わせ4.6 mount namespace4.7 network namespace4.8 user namespace4.9 IPC namespace4.10 cgroup namespace4.11 ホストから見たコンテナプロセス4.12 コンテナのホストマシン4.13 まとめChapter 5 仮想マシン5.1 マシンの起動5.2 VMMの世界へ5.3 トラップ＆エミュレート5.4 仮想化不可能な命令の取り扱い5.5 プロセスの分離とセキュリティ5.6 仮想マシンのデメリット5.7 コンテナの分離とVMの分離の比較5.8 まとめChapter 6 コンテナイメージ6.1 rootファイルシステムとイメージの設定6.2 実行時の設定情報の上書き6.3 OCI標準6.4 イメージの構成6.5 イメージのビルド6.6 イメージの格納方法6.7 イメージの特定6.8 イメージセキュリティ6.9 ビルド時のセキュリティ6.10 イメージレジストリのセキュリティ6.11 イメージデプロイメントのセキュリティ6.12 GitOpsとデプロイメントセキュリティ6.13 まとめChapter 7 イメージに含まれるソフトウェアの脆弱性7.1 脆弱性調査7.2 脆弱性、パッチ、ディストリビューション7.3 アプリケーションレベルの脆弱性7.4 脆弱性リスクマネジメント/7.5 脆弱性スキャン7.6 インストールされているパッケージ7.7 コンテナイメージスキャン7.8 スキャンツール7.9 CI/CDパイプラインにおけるスキャン7.10 脆弱なイメージの実行防止/7.11 ゼロデイ脆弱性7.12 まとめChapter 8 コンテナ分離の強化8.1 seccomp8.2 AppArmor8.3 SELinux8.4 gVisor8.5 Kata Containers8.6 Firecracker8.7 Unikernel8.8 まとめChapter 9 コンテナエスケープ9.1 デフォルトでのコンテナのroot実行9.2 --privilegedオプションとcapability9.3 機密性の高いディレクトリのマウント9.4 Dockerソケットのマウント9.5 コンテナとホスト間でのnamespaceの共有9.6 サイドカーコンテナ9.7 まとめChapter 10 コンテナネットワークセキュリティ10.1 コンテナファイアウォール10.2 OSI参照モデル10.3 IPパケットの送信10.4 コンテナのIPアドレス10.5 ネットワークの分離10.6 L3/L4ルーティングとルール10.7 ネットワークポリシー10.8 サービスメッシュ10.9 まとめChapter 11 TLSによるコンポーネントの安全な接続11.1 セキュアな接続11.2 X.509証明書11.3 TLS接続11.4 コンテナ間のセキュアな接続11.5 証明書の失効11.6 まとめChapter 12 コンテナへのシークレットの受け渡し12.1 シークレットの特性12.2 コンテナへの情報の取り込み12.3 Kubernetes Secret12.4 シークレットはrootでアクセス可能12.5 まとめChapter 13 コンテナのランタイム保護13.1 コンテナイメージプロファイル13.2 Drift Prevention13.3 まとめChapter 14 コンテナとOWASPトップ1014.1 インジェクション14.2 認証の不備/14.3 機密情報の露出14.4 XML外部エンティティ参照（XXE）/14.5 アクセス制御の不備14.6 セキュリティの設定ミス14.7 クロスサイトスクリプティング（XSS）/14.8 安全でないデシリアライゼーション14.9 既知の脆弱性を持つコンポーネントの使用14.10 不十分なログとモニタリング14.11 まとめ付録 A セキュリティチェックリストおわりに索引著者紹介監修／訳者紹介奥付