内容説明
■スペシャリストが執筆したコンテナセキュリティ要素技術の解説書!
本書は、Liz Rice『Container Security:Fundamental Technology Concepts that Protect Containerized Applications』OReilly Media, Inc.の翻訳書です。
スケーラビリティと復元力を促進するために、現在多くの組織がコンテナとオーケストレーションを使用してクラウドネイティブ環境でアプリケーションを実行しています。しかし、そのデプロイの安全性については、どのように判断すれば良いのでしょうか。本書は、開発者、運用者、セキュリティ専門家がセキュリティリスクを評価し、適切なソリューションを決定するために、コンテナの主要な要素技術を検証する実践的な書籍です。
著者のLiz Rice(Isovalent社 Chief Open Source Officer)は、コンテナベースのシステムでよく使われるビルディングブロックが Linuxでどのように構築されているかに着目しています。コンテナをデプロイする際に何が起きているかを理解し、デプロイされたアプリケーションに影響を与える可能性のある潜在的なセキュリティリスクを評価する方法を学ぶことができます。コンテナアプリケーションをkubectlやdockerで実行し、psやgrepなどのLinuxコマンドラインツールを使用していれば、すぐにでも始めることができます。
○コンテナへの攻撃経路について知る
○コンテナを支えるLinuxの構造について知る
○コンテナの堅牢化のための方法を検討
○設定ミスによるコンテナへの侵害の危険性を理解する
○コンテナイメージビルドのベストプラクティスを学ぶ
○既知のソフトウェア脆弱性を持つコンテナイメージを特定する
○コンテナ間のセキュアな接続を活用する
○セキュリティツールを使用して、デプロイされたアプリケーションに対する攻撃を防止する
▼本書の特徴
○コンテナセキュリティのスペシャリストが執筆した解説書
○コンテナのセキュリティの要素技術を学ぶことができる
○コンテナの仕組みと脆弱性(開発・運用時に注意すべき箇所)、その対策方法がわかる
▼対象読者
○コンテナのセキュリティの要素技術に興味がある人
○コンテナ化を行う開発者・運用者
目次
表紙
本書情報および正誤表のWebページ
監訳者のことば
まえがき
Chapter 1 コンテナセキュリティの脅威
1.1 リスク、脅威、緩和策
1.2 コンテナ脅威モデル
1.3 セキュリティ境界
1.4 マルチテナント
1.5 セキュリティの原則
1.6 まとめ
Chapter 2 Linuxシステムコール、パーミッション、capability
2.1 システムコール
2.2 ファイルパーミッション
2.3 capability
2.4 権限昇格
2.5 まとめ
Chapter 3 コントロールグループ
3.1 cgroupの階層
3.2 cgroupの作成
3.3 リソースの上限設定
3.4 cgroupへのプロセス割り当て
3.5 Dockerにおけるcgroupの利用
3.6 cgroup v2
3.7 まとめ
Chapter 4 コンテナの分離
4.1 namespace
4.2 ホスト名の分離
4.3 プロセスIDの分離
4.4 rootディレクトリの変更
4.5 namespaceとrootディレクトリの変更の組み合わせ
4.6 mount namespace
4.7 network namespace
4.8 user namespace
4.9 IPC namespace
4.10 cgroup namespace
4.11 ホストから見たコンテナプロセス
4.12 コンテナのホストマシン
4.13 まとめ
Chapter 5 仮想マシン
5.1 マシンの起動
5.2 VMMの世界へ
5.3 トラップ&エミュレート
5.4 仮想化不可能な命令の取り扱い
5.5 プロセスの分離とセキュリティ
5.6 仮想マシンのデメリット
5.7 コンテナの分離とVMの分離の比較
5.8 まとめ
Chapter 6 コンテナイメージ
6.1 rootファイルシステムとイメージの設定
6.2 実行時の設定情報の上書き
6.3 OCI標準
6.4 イメージの構成
6.5 イメージのビルド
6.6 イメージの格納方法
6.7 イメージの特定
6.8 イメージセキュリティ
6.9 ビルド時のセキュリティ
6.10 イメージレジストリのセキュリティ
6.11 イメージデプロイメントのセキュリティ
6.12 GitOpsとデプロイメントセキュリティ
6.13 まとめ
Chapter 7 イメージに含まれるソフトウェアの脆弱性
7.1 脆弱性調査
7.2 脆弱性、パッチ、ディストリビューション
7.3 アプリケーションレベルの脆弱性
7.4 脆弱性リスクマネジメント/7.5 脆弱性スキャン
7.6 インストールされているパッケージ
7.7 コンテナイメージスキャン
7.8 スキャンツール
7.9 CI/CDパイプラインにおけるスキャン
7.10 脆弱なイメージの実行防止/7.11 ゼロデイ脆弱性
7.12 まとめ
Chapter 8 コンテナ分離の強化
8.1 seccomp
8.2 AppArmor
8.3 SELinux
8.4 gVisor
8.5 Kata Containers
8.6 Firecracker
8.7 Unikernel
8.8 まとめ
Chapter 9 コンテナエスケープ
9.1 デフォルトでのコンテナのroot実行
9.2 --privilegedオプションとcapability
9.3 機密性の高いディレクトリのマウント
9.4 Dockerソケットのマウント
9.5 コンテナとホスト間でのnamespaceの共有
9.6 サイドカーコンテナ
9.7 まとめ
Chapter 10 コンテナネットワークセキュリティ
10.1 コンテナファイアウォール
10.2 OSI参照モデル
10.3 IPパケットの送信
10.4 コンテナのIPアドレス
10.5 ネットワークの分離
10.6 L3/L4ルーティングとルール
10.7 ネットワークポリシー
10.8 サービスメッシュ
10.9 まとめ
Chapter 11 TLSによるコンポーネントの安全な接続
11.1 セキュアな接続
11.2 X.509証明書
11.3 TLS接続
11.4 コンテナ間のセキュアな接続
11.5 証明書の失効
11.6 まとめ
Chapter 12 コンテナへのシークレットの受け渡し
12.1 シークレットの特性
12.2 コンテナへの情報の取り込み
12.3 Kubernetes Secret
12.4 シークレットはrootでアクセス可能
12.5 まとめ
Chapter 13 コンテナのランタイム保護
13.1 コンテナイメージプロファイル
13.2 Drift Prevention
13.3 まとめ
Chapter 14 コンテナとOWASPトップ10
14.1 インジェクション
14.2 認証の不備/14.3 機密情報の露出
14.4 XML外部エンティティ参照(XXE)/14.5 アクセス制御の不備
14.6 セキュリティの設定ミス
14.7 クロスサイトスクリプティング(XSS)/14.8 安全でないデシリアライゼーション
14.9 既知の脆弱性を持つコンポーネントの使用
14.10 不十分なログとモニタリング
14.11 まとめ
付録 A セキュリティチェックリスト
おわりに
索引
著者紹介
監修/訳者紹介
奥付
感想・レビュー
※以下の感想・レビューは、株式会社ブックウォーカーの提供する「読書メーター」によるものです。
mft
JUN_NETWORKS
kenryo
ふら〜
-
- 電子書籍
- 転生少女はまず一歩からはじめたい~魔物…
-
- 電子書籍
- ノーサイド(2)悲願の初勝利 Jコミッ…
-
- 電子書籍
- ホームズまるわかり事典 『緋色の研究』…
-
- 電子書籍
- 不完全神性機関イリス3 三大世界の反逆…
