硬化画像は無料です。さて、どうする?

Docker Hardened Imagesは現在無料で提供されており、Alpine、Debian、そしてデータベース、ランタイム、メッセージバスを含む0001イメージをカバーしています。セキュリティチームにとって、これはコンテナ脆弱性管理の経済性を変えます。

DHIにはDockerのセキュリティチームによるセキュリティ修正が含まれており、セキュリティ対応を簡素化しています。プラットフォームチームはパッチ適用済みのベースイメージを取り出し、迅速に再デプロイできます。しかし、フリーハード画像は疑問を投げかけます。これはセキュリティの実践をどのように変えるべきか?Dockerでの私たちの考え方がどのように進化しているかをご紹介します。

何が変わるのか(そして何が変わらないのか)

DHIはセキュリティの「ウォーターライン」を提供します。しかし、その下ではDockerが脆弱性管理を所有しています。その上にいるのは、あなたです。スキャナーがDHIレイヤーで何かをフラグ付けした場合、それはあなたのチームが対応できるものではありません。DHI境界より上のすべての土地はあなたのものとなります。

範囲は使用するDHI画像によって異なります。強化されたPythonイメージはOSとランタイムをカバーし、アプリケーションコードや直接的な依存関係に限るサーフェスを縮小します。ハード化されたベースイメージと自分のランタイムを上に配置すると、境界は低くなります。目標は水線をできるだけ高く押し上げることです。

弱点は消えません。水線下では、パッチされたDHI画像を迅速に引き出す必要があります。その上でも、アプリケーションコードや依存関係、そして上に重ねたものを所有しています。

サプライチェーンの隔離

DHIはCVEの修復を超えたサプライチェーンの隔離を提供します。

python:3.11のようなコミュニティ画像には暗黙の信頼が前提とされています。例えば、保守者の認証情報が侵害されていない、タグの上書きによる悪意あるレイヤー注入なし、最後のプル以降の改ざんなし。Shai Huludキャンペーンは、攻撃者が盗まれたPATやタグの可変性を利用してエコシステムを通じて拡散した場合の結果を示しました。

DHIイメージは、Dockerがソースから再構築し、レビュープロセスやクールダウン期間を経て制御された名前空間から来ています。コミュニティのイメージを焼き尽くすサプライチェーン攻撃はDHI境界で止まります。サプライチェーンのリスクから完全に免れるわけではありませんが、コミュニティイメージの信頼モデルを悪用する攻撃のリスクを排除しました。

これは、CVE削減とは異なる価値提案です。それは、ますます高度化する攻撃の一群から隔離することです。

評価単位としてのコンテナイメージ

セキュリティスキャンは断片的です。依存スキャン、SAST、SCAはすべて異なるコンテキストで動作し、展開時にすべてがどのように組み合わさっているかを完全に把握できるものではありません。

コンテナイメージがこれらすべてが収束する部分です。これは実際のデプロイアーティファクトであり、開発者のワークステーションから本番環境まで一貫した適用を保証するチェックポイントとなっています。ローカルで実行する評価基準は、CIで実行されるものや本番環境のゲートと同一 docker build 場合があります。

これで以前のパイプラインスキャンを完全に置き換える必要はありません。イメージはポリシーの一貫性を強制し、デプロイするものに直接対応する一貫した監査の軌跡を構築する場所です。

ポリシー駆動型自動化

すべての企業には脆弱性管理ポリシーがあります。ギャップは通常、方針(PDFやウィキ)と実践(スプレッドシートやJiraチケット)の間にあります。

DHIは、そもそも政策決定を必要とする発見の量を劇的に減らし、そのギャップを埋めやすくします。スキャナーが50500ではなくCVEを返すと、基本的な深刻度フィルタリングさえも、圧倒的なバックログではなく、実用的なトリアージシステムとなります。

シンプルで実現可能な保険には、以下のようなものが含まれます。

• 高重度かつ重大な脆弱性は、修復または例外の文書化が必要です
• 中程度以下の問題は定期的な見直しで受け入れられます
• CISA KEVの脆弱性は常に対象となります

ほとんどのスキャンプラットフォームはこのレベルのフィルタリングをネイティブでサポートしており、Grype、Trivy、Snyk、Wiz、Prisma Cloud、Aqua、Docker Scoutなどが含まれます。重症度の閾値を定義し、自動的に適用し、人間の判断が必要な部分だけを浮き彫りにします。

DHIカバレッジデータとのより緊密な統合を求めるチームのために、Docker ScoutはDHIステータスを直接照合してポリシーを評価します。サードパーティのスキャナーは、パイプラインのスクリプトやDHIカバレッジ情報をエクスポートして比較することで同様の結果を得ることができます。

目標は完璧な自動化ではなく、既存の方針を技術者を消耗させることなく、既存の方針を強制力のあるものにするほどノイズを減らすことです。

VEX:今日できること

Docker Hardened Imagesは、Dockerが文脈で悪用不可と評価したCVEを抑制する VEX 認証付きで提供されます。自然な拡張として、チームがアプリケーション層の発見用に独自のVEXステートメントを追加することになります。

今日、あなたのセキュリティチームができることは以下の通りです:

DHI VEXデータを消費してください。 グリペ (v0.65+),Trivy、 Wiz、 Docker Scoutはすべて DHI VEXの認証を自動的にまたはフラグで取り込みます。VEXサポートのないスキャナーでも、抽出した証言を使って手動トリアージに役立てることができます。

自分でVEXステートメントを書きましょう。 OpenVEX はJSON形式を提供しています。vextlを使ってステートメントを生成し署名してください。

画像にVEXを添付してください。Dockerは、既にレジストリにVEXを付けるためのdocker scout attestation addを推奨しています:

docker scout attestation add \
  --file ./cve-2024-1234.vex.json \
  --predicate-type https://openvex.dev/ns/v0.2.0 \
  <image>

あるいは、ビルド時にCOPY VEXドキュメントをイメージファイルシステムに記録しますが、これにより再構築なしでは更新ができません。

スキャナーのVEXインジェスを設定してください。ワークフローは、スキャンし、調査結果を特定し、VEXとして文書化し、スキャナーの設定にフィードバックする。将来のスキャンでは自動的に評価された脆弱性が抑制されます。

コンプライアンス:DHIが実際に提供しているもの

ISO27001 、SOC 、2 EUサイバーレジリエンス法 などの コンプライアンスフレームワークは、体系的かつ監査可能な脆弱性管理を求めています。DHIは特定の制御要件に対応しています:

脆弱性管理文書(ISO 27001 A.8.8. Soc 2 CC7.1)ウォーターラインモデルは「基礎画像の脆弱性をどのように扱うのか?」という問いに対して正当な答えを提供します。DHIを指し示し、認証モデルを説明し、水線より上のすべての地域に関する方針を示してください。

継続的なモニタリング証拠。DHI画像は定められたリズムで再構築・再スキャンします。新しいダイジェストは現在の評価を意味します。スキャナーの継続的なモニタリングと組み合わせることで、単なるポイントインタイムチェックではなく継続的な評価を示しています。

修復のトレーサビリティ。VEXの証明は、各CVEがどのように扱われたかを機械で読み取れる記録を作成します。監査人が特定のデプロイメントにおける特定のCVEについて尋ねた場合、回答はイメージダイジェストやタイムスタンプに結びついています。

CRAのアライメント。サイバーレジリエンス法は「デューデリジェンス」脆弱性処理とSBOMsを義務付けています。DHI画像には SBOMの証明が含まれており、VEXはCRAの脆弱性に関する期待に沿っています。

これはすべての監査の質問に答えるわけではありませんが、多くの組織が欠けている基盤を提供します。

この投稿を読んだ後に何をすべきか

1. 高ボリュームのベース画像を特定します。最も使われている画像(Python、Node、Go、Alpine、Debian)については、Docker HubのHardened Imagesカタログ (My Hub → Hardened Images → Catalog)をチェックしてください。
2. 画像を一つ交換する。重要でないサービスを選び、FROMラインをDHI対応に変え、再構築し、スキャンし、結果を比較します。
3. ポリシーベースのフィルタリングを設定しましょう。 DHIでカバーされた脆弱性とアプリケーション層の発見を区別できるようにスキャナーを設定しましょう。ネイティブなVEX統合にはDocker ScoutやWizを使うか、抽出したVEXデータに基づいてGrypeやTrivyのポリシーを無視する設定をしてください。
4. 水辺の記録をつけてください。DHIがカバーする内容と、残る責任を書き留めてください。これがあなたの保険契約の参照および監査文書となります。
5. VEXの診療所を始めましょう。非公式に文書化された脆弱性評価をVEX文に変換し、関連する画像に添付します。

DHIは、基礎イメージの脆弱性やサプライチェーンの信頼に関する特定かつ高額な問題を解決します。チャンスは、それを中心にスケールできる実践を築くことです。

より大きな視点

DHIのカバレッジは拡大しています。今日はOS層をカバーするかもしれませんが、明日にはランタイムやハード化されたライブラリにまで及ぶかもしれません。境界がどこにあるかに依存しない枠組みを構築しましょう。しかし、問題は常に同じです――Dockerが何を証明し、何を評価すべきか?

DockerがDHIに使用する方法論(ポリシー駆動型評価、VEX認証、監査可能な意思決定)は、アプリケーション層にも及びます。カスタムコードを所有することはできませんが、水線以上で一貫した実践のための枠組みを提供できます。スカウト、ウィズ、グライプ、トリビー、あるいは他のスキャナーを使っても、パターンは同じです。DHIにカバー範囲を任せ、残る部分のポリシーを自動化し、アーティファクトを伴う形式で意思決定を文書化できます。

Dockerでは、社内でDHIを使ってこの脆弱性管理モデルを構築しています。フレームワークは、今日どれだけスタックをハード化しても、1年後と比べて変わらず変わらず変わりません。動くのは境界だけだ。

硬化した画像は無料です。VEXの証明書も含まれています。残るは、これらの要素を統合し、コンテナが真実の単位となり、ポリシーが自動化を推進し、すべての脆弱性決定がデフォルトで記録されるような一貫したセキュリティ実践に組み込むことです。

より強力な保証、FIPS対応およびSTIG対応のイメージ、カスタマイズを必要とする組織にとって、DHI Enterpriseはその用途に特化しています。デモをご希望の場合はDockerチームにご連絡ください。まだ探しているなら、 カタログ (登録不要)をチェックするか、 DHI Enterpriseの無料トライアルを試してみてください。