日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
クラウドコンテナレジストリのセキュリティを改善する方法がついに登場
リリー・ヘイ・ニューマン
ソフトウェア サプライ チェーン攻撃が日常的な脅威として浮上しており、悪意のある者が開発や配布プロセスのステップを汚染するため、テクノロジー業界はチェーン内の各リンクを保護する必要性について警鐘を鳴らしています。 しかし、実際に改善を実装することは、特に広大なオープンソース クラウド開発エコシステムにとっては困難です。 今回、セキュリティ企業Chainguardは、遍在的だが長い間見落とされてきたコンポーネントに対して、より安全なソリューションがあると発表した。
「コンテナ レジストリ」は、開発者がそれぞれ異なるソフトウェア プログラムを保持するクラウド コンテナの「イメージ」をアップロードするアプリ ストアやクリアリングハウスのようなものです。 あなたが毎日使用しているクラウド サービスは、アプリケーションにアクセスするためにコンテナ レジストリを絶えずサイレントにナビゲートしていますが、これらのレジストリのセキュリティは、紛失、盗難、または推測される可能性があるパスワードのみで十分に保護されていないことがよくあります。 これは多くの場合、特定のコンテナ イメージにアクセスできない人がそのイメージをダウンロードできたり、さらに悪いことに、悪意のある可能性のあるイメージをレジストリにアップロードしたりできることを意味します。 Chainguard の新しいコンテナ イメージ レジストリは、この難解だが蔓延している穴を塞ぐことを目的としています。
「想像できるほとんどすべての悪いことがコンテナ レジストリで起こっています」と、Chainguard の CEO であり、長年ソフトウェア サプライ チェーンのセキュリティ研究者である Dan Lorenc 氏は言います。 「パスワードを紛失する人、意図的にマルウェアをプッシュする人、アップデートを忘れる人。業界ではこれを長い間使用しており、誰もがコードを出荷して楽しんでおり、長期的な影響については誰も考えていませんでした。」
Chainguard の研究者らは、より慎重に設計されたレジストリ、特にパスワードを取り除き、代わりにシングル サインオン アプローチを使用してレジストリ アクセスを制御するレジストリの開発を長年検討してきたと述べています。 そうすることで、必要に応じてレジストリにアクセスしたりロックダウンしたりできるように設計でき、企業 ID サービスや Google アカウントなどの他のアカウントにログインし、特別に許可されたユーザーだけがレジストリを操作できるようになります。
「コンテナ レジストリは弱点でした」と、Chainguard ソフトウェア エンジニアの Jason Hall は言います。 「それらは非常に退屈で、非常に標準的です。これは、ソフトウェアを提供するためにソフトウェアに依存しているソフトウェアです。私たちはもっと改善し、レジストリと通信してレジストリにプッシュできるようにするためのパスワードを取り除く必要があります。」
ただし、このようなシステムの導入にはコストという大きな制限があります。 コンテナー レジストリの実行は、通常、「エグレス料金」のために非常に高価になります。 言い換えれば、クラウド プロバイダーは企業顧客にデータをクラウドにアップロードする料金を請求しませんが、誰かがデータをダウンロードするたびに料金を請求します。 したがって、コンテナ レジストリが、誰もがコンテナ イメージをダウンロードしに来るアプリ ストアのようなものである場合、下り料金は非常に高額かつ急速に増加する可能性があります。 これにより、より安全な代替手段の提供に伴うコストを誰も負担したくなかったため、コンテナ レジストリのセキュリティを徹底的に見直す取り組みの意欲が減退しました。
ジェレミー・ホワイト
ケイト・ニブス
WIREDスタッフ
ステファニー・マクニール
Chainguard の躍進は、インターネット インフラストラクチャ企業 Cloudflare が 9 月に R2 Storage サービスの一般提供を発表したときに起こりました。 この製品の目標は、Cloudflareの顧客に下り料金を削減し、ダウンロード頻度が低いデータに対しては料金を無料で提供することです。 R2 がオプションとして登場すると、Chainguard の研究者は、より安全なレジストリの開発を進めるために必要なものをすべて揃えることができました。
Cloudflareの従業員向け製品管理担当バイスプレジデントであるAly Cabral氏は、同社がコンテンツ配信ネットワークとしてR2のようなサービスを提供できるのは、世界中でデータを効率的に管理し移動するためのシステムの最適化にすでに多大な投資を行っているためだと語った。 。 そして彼女は、クラウド ソフトウェア開発だけでなく、多くの分野で下り料金が問題になっていると指摘しました。 たとえば、AI 企業は、GPU の処理能力を確保するために、トレーニング データ セットを別の地域やプラットフォームに移動する方法をますます必要としています。
しかし、より安全なクラウド レジストリの作成に関して言えば、Chainguard の取り組みはまさに Cloudflare が R2 でサポートしたいと考えていた種類のプロジェクトであるとカブラル氏は言います。
「コンテナ レジストリなどの主要なソフトウェア配信インフラストラクチャを再考し、エコシステムが必要とするセキュア バイ デザインの原則に基づいて構築されるようにするという Chainguard の取り組みは、悪意のある攻撃の防止に役立つ積極的な注意の一種です」と彼女は言います。 「多くの場合、セキュリティは後回しであり、脅威アクターが標準以下のセキュリティ対策を悪用する能力がますます洗練され、精通しているため、有害になる可能性があります。」
Chainguard は、安全なレジストリを使用してイメージを配布し、他のユーザーがそれを採用できるようにレジストリ設計を利用できるようにします。 一般の Web ユーザーにとって、この変化は目に見えませんが、人々の生活に目に見える影響を与える可能性がある、そして実際に影響を与えるソフトウェア サプライ チェーン攻撃による影響を防ぐことができる可能性があります。