先日読了。
良書。コンテナならではのセキュリティの勘所。
- アタックサーフェス: コンテナランタイムへの攻撃、コンテナの設定不備を利用した攻撃、Linuxカーネルへの攻撃、コンテナイメージやソフトウェアの脆弱性を利用した攻撃
- コンテナの設計により堅牢なコンテナイメージの作成(Trivy、Syft、Grypeなどで脆弱性スキャン )
- ランタイムのセキュア運用(各種制限、セキュアランタイム gVisor、Sysbox、Kata Containersなど、ガイドライン CIS Benchmark、OWASP Docker Security Cheatsheet、NIST SP.800-190 Application Container Security)
- コンテナ環境のセキュアな運用(Sysdig、Falcoなどの監視、Dockerの各種ログ、Docker Bench for Securityによる監査)