The Doppler Quarterly (日本語) 秋 2017 - Page 49

コンテナー外部に対するアプローチでは、特別に統合されるテストコンテナーを作成できま す。これらのテストコンテナーには、テストツールと、テストスクリプト、テストデータ、テスト環 境構成などのテストアーティファクトのみが含まれます。これら自体もコンテナーですが、本 番に移行されるコンテナーイメージの一部とはなりません。したがって、イメージのサイズま たはパフォーマンスには影響しません。ただし、これらは自動構成されないため、状況に応じ たテストタ クに基づいてセットアップする必要があります。 コンテナーの開発に向けて選択するアプローチとツールは、アプリケーション自体の目的に 合わせて導入する必要があります。コンテナーだけでなく、サービスとマイクロサービスも包 括的にテストすることを忘れないでください。 コンテナーセキュリティの有効化 コンテナーセキュリティの基本的な概念は、最初にコンテナーを信頼できるようにすることで す。つまり、攻撃対象領域を縮小し、一般的な脆弱性管理を実装します。これを実行するた めの主な方法は、イメージと、テストツールおよびプロセス内に既定としてセキュリティチェッ クを統合することです。 イメージの作成時または使用時以降の、作成されるレイヤー全体にかけて、また本番および 運用における現行の修正にかけて、すべてのイメージを追跡することで脆弱性を管理でき ます。パブリックイメージレポジトリのイメージ、プライベートイメージレポジトリのイメージ、 DevOps またはその他のライフサイクルプロセスで使用中のイメージを監視する必要があり ます。 コンテナー内の脆弱性をテストする最適な方法についてはさまざまな考えがありますが、最 近では、外部のセキュリティテストツールを使用してイメージをテストすることがベストプラク ティスになろうとしているようです。これらのツールではコンテナーイメージ内のマイクロサービ スレベルまで掘り下げて、またレイヤー全体にかけてテストを実施できます。 基本的に、基盤となるレイヤーか派生したレイヤーかにかかわらず、イメージには脆弱性が あると想定する必要があります。各レイヤーおよびイメージの脆弱性をスキャンし、発見し た脆弱性を修正します。このプロセスは体系的と言うことができます。これは、開発、テス ト、ステージング、運用など、 DevOps またはライフサイクルプロセスの各ステージで必要と なります。 セキュリティスキャンを実行すると同時に、コンプライアンスとガバナンスを確認することも忘 れないでください。重要なのは、その他のコンテナー開発でも同様のパターンを持つセキュリ ティの脆弱性に対して定められた、カスタマイズ可能なルールを持つことです。 コンテナーの運用 パフォーマンス、セキュリティ、ガバナンス監視、自動化された是正措置の実行、フェイルオー バーおよびリカバリの処理に向けたものも含めて、運用関連のツールセットのプロバイダーの 大部分が、現在はコンテナーをサポートしています。そのため、任意の監視ツールと運用ツー ルを使用して本番環境のコンテナーを運用できる可能性もあります。 2017 年秋号 | THE DOPPLER | 47