【感想・ネタバレ】コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術のレビュー

Liz Rice / スリーシェイク / 水元恭平 / 生賀一輝 / 戸澤涼 / 元内柊也

■スペシャリストが執筆したコンテナセキュリティ要素技術の解説書！
本書は、Liz Rice『Container Security:Fundamental Technology Concepts that Protect Containerized Applications』O'Reilly Media, Inc.の翻訳書です。

スケーラビリティと復元力を促進するために、現在多くの組織がコンテナとオーケストレーションを使用してクラウドネイティブ環境でアプリケーションを実行しています。しかし、そのデプロイの安全性については、どのように判断すれば良いのでしょうか。本書は、開発者、運用者、セキュリティ専門家がセキュリティリスクを評価し、適切なソリューションを決定するために、コンテナの主要な要素技術を検証する実践的な書籍です。

著者のLiz Rice（Isovalent社 Chief Open Source Officer）は、コンテナベースのシステムでよく使われるビルディングブロックが Linuxでどのように構築されているかに着目しています。コンテナをデプロイする際に何が起きているかを理解し、デプロイされたアプリケーションに影響を与える可能性のある潜在的なセキュリティリスクを評価する方法を学ぶことができます。コンテナアプリケーションをkubectlやdockerで実行し、psやgrepなどのLinuxコマンドラインツールを使用していれば、すぐにでも始めることができます。

○コンテナへの攻撃経路について知る
○コンテナを支えるLinuxの構造について知る
○コンテナの堅牢化のための方法を検討
○設定ミスによるコンテナへの侵害の危険性を理解する
○コンテナイメージビルドのベストプラクティスを学ぶ
○既知のソフトウェア脆弱性を持つコンテナイメージを特定する
○コンテナ間のセキュアな接続を活用する
○セキュリティツールを使用して、デプロイされたアプリケーションに対する攻撃を防止する

▼本書の特徴
○コンテナセキュリティのスペシャリストが執筆した解説書
○コンテナのセキュリティの要素技術を学ぶことができる
○コンテナの仕組みと脆弱性（開発・運用時に注意すべき箇所）、その対策方法がわかる

▼対象読者
○コンテナのセキュリティの要素技術に興味がある人
○コンテナ化を行う開発者・運用者

[ブクログ · ★★★★★]

コンテナセキュリティの脅威モデリングを切り口に想定リスクや対策をさまざまな観点から網羅的に解説している素晴らしい書籍。namespace, setuid,capability等のコンテナの根幹と言えるOS機能も分かりやすく解説しながら、何故コンテナ特有の想定リスクがあるのか？実際のコマンド例も多く交えながらセキュリティ上のリスクを示すことで、コンテナ初心者の読み手であっても理解しやすいように構成されていると感じた。コンテナを活用したアプリケーション設計やアーキテクトを行う開発者にとっては辞書的にセルフチェックする目的で何度も読み返しながら活用できると思う。

[ブクログ · ★★★★☆]

一見安心そうなコンテナでもコンテナイメージの設定不備や脆弱なアプリケーションにより脅威にさらされる。IoTにもコンテナ実装やコンテナを利用してのソフトアップデートなどが当たり前になってきているなかでコンテナ脅威モデルの把握は必須かなと思う。ただ、初心者向けの本ではないので、DockerやKubernetisを触ったことがあり、Linux基礎も習得済みの方向け。