カタコンテナはいかにしてDockerコンテナのセキュリティを強化しているのか 第28回 19年04月 / 最終更新:2019.04.09

こんにちはー。野田貴子です。今月も海外のOpenStackコラムを意訳してご紹介します。ご参考いただければ幸いです。

 

#

 

Dockerの人気の秘訣は、ソフトウェアを配布したい開発者のハードルを取り除く点にあります。これはカタコンテナと組み合わせることでさらに安全に行うことができます。

[Kata Containers](https://katacontainers.io/)は、コンテナのように動作する軽量の仮想マシン(VM)の標準実装を構築するための、オープンソースのプロジェクトおよびコミュニティですが、ワークロードの分離やVMのセキュリティー上の利点が備わっています。

[Open Telekom Cloud](https://cloud.telekom.de/en/infrastructure/open-telekom-cloud)のクラウドアーキテクトである[Nils Magnus氏](https://twitter.com/craternils)は最近、KataがDockerのセキュリティをどのように向上させることができるかについての1時間のウェビナー([こちらで](https://register.gotowebinar.com/register/5285623266864140801)電子メールを登録すると無料で録画を閲覧できます)を実行しました。このウェビナーでは、KataコンテナとDockerコンテナのデモインストール、それらの設定、そしてそれらが起動し実行中であることを確認する方法が紹介されています。

以下は、ウェビナーの主要なセクションとそのタイムスタンプです。

- コンテナの概要(9:45)、DockerとKataのアーキテクチャ(15:01)

- Open Telekom Cloudの16コア、256 GBのベアメタルサーバーへのインストール(30:32)。Magnus氏はデモを実行する必要はないと述べていますが、数百のコンテナを実行する機能を備えた「妥当なマシン」を披露したかったとのことです。

- 設定(37:04)、検証(39:00)、実行中のコンテナ(40)、VM内(41:29)、トラブルシューティングコマンド(42:36)。自動インストールとKata Containerランタイムの簡単なベンチマークのためにデモで使用されたスクリプトは、[GitHub](https://github.com/Nils-Magnus/katabench)で入手可能です。

- パフォーマンスベンチマーク(47:06)と結果(49:17)

- ユースケース(50:10)

では、セキュリティ上の利点は何でしょうか? 「いくつかの従来のDockerコンテナが実行されていて、いずれかのアプリにいくつかの脆弱性があり、攻撃者がいずれかのコンテナ内のいずれかのアプリにアクセスできる状況で。ハッカーがホストカーネルの脆弱性を特定できれば、他のコンテナのシステム全体にアクセスできてしまう可能性があります。」Kata Containersでは、それは違います、とMagnus氏は続けます。「アプリケーションの1つに攻撃者がいても、カーネルに脆弱性が含まれていても、攻撃者はVMを離れることはできません。これが主な違いです。」

KataとDockerの組み合わせで改善できることのうちMagnus氏が見せたかったものは、メモリフットプリントの改善、ゲストイメージのさらなる縮小、コンテナとランタイム間のシムの削除、ハイパーバイザーフットプリントのさらなる縮小などです。

## 参加方法

Kata Containersは完全にオープンソースのプロジェクトです。[GitHubのKata Containers](https://github.com/kata-containers)をチェックし、以下のチャンネルに参加し、みなさんがどのように貢献できるかを見つけてください。

- GitHub: https://github.com/kata-containers

- Slack: link: https://katacontainers.slack.com ; 招待: http://bit.ly/KataSlack

- IRC: #kata-dev on Freenode

- メーリングリスト: http://lists.katacontainers.io/cgi-bin/mailman/listinfo

 

今後の[Open Infrastructure Summit](https://www.openstack.org/summit/)ではKata Containersを使ったセッションも多数あります。[プロジェクトオンボーディング](https://www.openstack.org/summit/denver-2019/summit-schedule/events/23716/kata-containers-project-onboarding)から「[Tailor-made security: Building a container specific hypervisor](https://www.openstack.org/summit/denver-2019/summit-schedule/events/23716/kata-containers-project-onboarding)」まで亘っています。[こちら](https://www.openstack.org/summit/denver-2019/summit-schedule/global-search?t=Kata)ですべてのセッションを参照できます。

 

※本コラムは以下の文章を意訳したものです。

引用元 

https://superuser.openstack.org/articles/how-kata-containers-boost-security-in-docker-containers/

※本コラムは原文執筆者が公式に発表しているものでなく、翻訳者が独自に意訳しているものです。