今週気になったIT関連のニュース

2021年11月8日～2021年11月14日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• 公開されているDocker Imageを調査した結果、7%のImageに機密情報が含まれていることがわかった
• Dockerを安全に使う為にチェックしておきたい項目
• Microsoft Azure CosmosDBのChaosDBについての詳細が公開された
• 最後に

公開されているDocker Imageを調査した結果、7%のImageに機密情報が含まれていることがわかった

What

• 公開されているDocker ImageをScanするツールを作成し、Scanしてみた。
• Scanの対象はDebianなどのレイヤーではなく、ユーザが実行したカスタムコマンドのレイヤーに絞った。これにより効率よくScanを実施することができる。
  • レイヤーを抽出後、そこに含まれるファイルや環境変数をScanする。
• Scan対象はDocker Hubに公開されていた2,000の公開されたイメージ。
  • Scanしたところ、7％のイメージから少なくとも1つの機密情報が見つかった。
  • この検出率は、公開されているソースコードに機密情報が含まれる比率の約半分。
  • Dockerを使う開発者はセキュリティに対する意識が高い？

関連記事

• Secrets exposed in Docker images: Hunting for secrets in Docker Hub

Dockerを安全に使う為にチェックしておきたい項目

What

• Dockerを使う時にセキュリティ観点でチェックしておきたい内容。
• チートシート全体はこちら
  • PDF Docker-Security-Cheatsheet_hp8lh3.pdf (cloudinary.com)
• imageは公式のものを使う。
  • この記事では、攻撃に悪用できる側面を減らす目的でAlpine Linuxを勧めている。
  • 「Alpine Linuxは色々とトラブルの元になるので使用禁止」という話も聞くが、軽量なことだけでなくセキュリティの観点でも優位性があるらしい。
• 非特権ユーザを作成して使う。
  • デフォルトではroot権限になっているので、適切な権限のユーザを作成して使う。
• ユーザ名前空間でコンテナを分離する。
  • ユーザ名前空間でコンテナを分離 — Docker-docs-ja 19.03 ドキュメント
  • 「-userns-remap」オプションを使う。
  • デフォルトでは名前空間が同じなので、コンテナ内で権限昇格が成功すると、ホストマシンへもrootでアクセスができてしまう。
• 単一のRUNコマンドで環境変数の削除を実行する。
  • ARGというのを使うのがいいらしい。
  • Dockerfile リファレンス — Docker-docs-ja 20.10 ドキュメント
  • こちらも参考になりそう。
  • BuildKit でイメージ構築 — Docker-docs-ja 19.03 ドキュメント 新しい Docker Build シークレット情報
• docker demon socketを公開しない。
• コンテナに特権を与えない。
• 機能は最小限にする。
  • デフォルトで有効になっている機能を全て削除して、必要なもののみ有効にする。
• ホストマシンの機密ファイルを共有しない。
• 他にもネットワークの設定やloggingについて参考になりそうな情報が色々書かれていた。

関連記事

• How to improve your Docker containers security - [cheat sheet]

Microsoft Azure CosmosDBのChaosDBについての詳細が公開された

What

• 先日公開されたAzureのCosmosDBの脆弱性「ChaosDB」の詳細な情報が公開された。
• 前回公開された情報はこちら
  • 2021/9/2 今週気になったIT関連のニュース · kapieciiのブログ

関連記事

• ChaosDB Explained: Azure’s Cosmos DB Vulnerability Walkthrough | Wiz Blog

最後に

最近Dockerを使う機会が増えたので、Dockerに関するニュースが気になりがち。