コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」

今回は「コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 クラウドセキュリティにおける究極の悪夢の1つは、何者かにコンテナーランタイムのセキュリティを突破され、基盤となるOSに侵入されることだ。「Leaky Vessels」などの攻撃では、ハッカーがプログラムに大打撃を与えて、他のコンテナー化されたアプリケーションを破壊し、攻撃者にルートユーザーレベルの権限を付与してしまう可能性がある。つまり、セキュリティが完全に崩壊するということだ。そのような攻撃を防ぐために、「Edera」は古いプログラムを新しい言語に取り込んで、メモリー安全性に優れたコンテナーランタイムを提供する。

 「Rust」で記述されたEderaは、従来のオープンソースのタイプ1ベアメタル仮想マシンハイパーバイザーである「Xen」を基盤としている。このハイパーバイザーを選んだ理由について、Ederaの最高イノベーション責任者で「Alpine Linux」のメンテナーでもあるAriadne Conill氏は、Linuxカーネル内で実行される「KVM」と異なり、専用のタイプ1ハイパーバイザーであるからだと説明した。タイプ1は人気の高いタイプ2ハイパーバイザーよりも本質的に安全性が高い。

 技術に詳しい人なら、「そのとおりだが、どちらのタイプのハイパーバイザーも仮想マシン(VM)用の技術であり、コンテナー向けではないのでは」と思うだろう。それは正しいが、Ederaのチームはハイパーバイザーの設計に着目して、それをコンテナーに移行させた。Ederaの最高経営責任者(CEO)のEmily Long氏は、「ハイパーバイザーは20年近く見直されておらず、クラウドネイティブの環境ではうまく機能しない」と語る。Ederaの開発者が構築しているのは、真の21世紀型のハイパーバイザーだ。

 新しいプログラムは「Krata」を基盤としている。これはOpen Container Initiative(OCI)準拠のコンテナー向けに構築されたXenベースの単一ホストハイパーバイザーだ。コンテナーを完全にメモリーセーフなRustのコントロールプレーンで隔離し、Xenツールを安全な新時代へと導く。また、Ederaはオープンソースのメモリー安全性ランタイムライブラリーである「Lukko」を使用する。このライブラリーは実行時にメモリー安全性違反を検出し、悪用される前にプログラムをクリーンに終了する。

 Ederaは設計段階から安全性が考慮されている。独立したソリューションでは唯一、コンテナーレベルでの隔離機能を提供し、ハイパークラウド、ローカルクラウド、自社サーバーなど、インフラストラクチャーを実行する場所に関係なく、コンテナーエスケープを不可能にする。

 さらに、完成版の「Edera Protect」に一連の高度な機能が搭載される予定だ。これには、エンタープライズコントロールプレーン、マルチクラスター管理、ガイド付きのメモリー安全性違反修正などがあり、すぐに利用できる「Kubernetes」互換性や、プレミアムサポートサービスによって補完される。

 最終的に、Ederaの顧客は、従来の仮想化用とコンテナー用に異なるクラスターを用意するのではなく、ワークロードの種類を組み合わせてクラスターに展開できるようになる。コンテナーを配布するのと同じように従来のVMイメージを配布する機能もサポートされる予定で、コンテナーと従来のVMの両方を扱う際に、開発者の体験の一貫性が向上する。

 Ederaの創設チームのメンバーは、Conill氏、Long氏、最高技術責任者(CTO)のAlex Zenla氏で、全員が女性だ。IT系の男性で構成されることが多い一般的なテクノロジー開発リーダーシップチームとは異なる。3氏の専門分野は、エンジニアリングリーダーシップ、ソフトウェアセキュリティ、製品イノベーション、経営管理など、多岐にわたる。創設者らは、より包括的で、力を与え、安全性の高いテクノロジーの未来を築くという共通のビジョンを持っている。

 Ederaにとっては今が好機だ。コンテナーオーケストレーションの複雑化とKubernetesのセキュリティ脆弱性が原因で、企業がより安全なコンテナーを必要としている中で、Ederaは設計段階から安全性を確保するアプローチを提案して、それらの課題に対処しようとしている。実際に、Rustのメモリー安全性機能と現代的なハイパーバイザー技術を活用する同社独自のアプローチは、コンテナーレベルで強固な隔離機能を提供し、既存の多くのセキュリティツールを時代遅れにする可能性がある。

 現在、誰でもKrataに貢献することができる。Lukkoは米国時間2024年5月1日に最初のリリースが予定されている。創設者たちは間もなく最初の資金調達ラウンドを開始する予定で、そのプロセスを始められることをうれしく思っているという。

 同社の今後の動向が楽しみだ。これはまさにコンテナーセキュリティに対する画期的な新アプローチであり、クラウドネイティブコンピューティングの状況を一変させる可能性が十分にある。

元記事: https://japan.zdnet.com/article/35217807/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
AI成功の鍵は適切なユースケースを見つけること–Toyota Motor Europeの取り組み
IT関連
2024-02-03 14:21
「iPhone」でスクロールするスクリーンショットを撮るには
IT関連
2022-08-07 15:37
AppleのARヘッドセットはフレネルレンズを採用? 2022年に1000ドルで登場とアナリスト予想
IT関連
2021-03-25 06:00
ポーランドで逮捕されたランサムウェア犯罪グループ「REvil」のメンバー1人が米国に引き渡される
IT関連
2022-03-13 17:33
危機への対応:2023年にデータドリブン企業が優先すべき5つのトレンド
IT関連
2022-12-30 18:39
中止の噂を否定するためグーグルがPixel 5a 5G販売を突然発表、2021年中に米国と日本で
ハードウェア
2021-04-11 15:20
レシート撮るだけで支出管理「LINEレシート」登場 家計簿より手軽
ライフ
2021-01-28 10:43
マイクロソフト、「Office LTSC」「Office 2021」のリリース予定など明らかに
IT関連
2021-02-19 10:56
Appleが初代HomePodの販売を終了、好評のminiに注力
ハードウェア
2021-03-14 21:20
マイクロン、ニューヨーク州に半導体工場を新設へ–20年で最大14兆円を投資
IT関連
2022-10-07 14:52
日本企業のIT調達に重大な影響が出る恐れ–ガートナー
IT関連
2022-08-05 16:55
KPMGコンサルティング、企業のDE&I推進を包括的に支援する新サービス
IT関連
2023-07-12 15:48
GitHubで暴動の際「ナチス」について警告し解雇されたユダヤ系社員が弁護士を募集(更新:GitHubが解雇を撤回)
パブリック / ダイバーシティ
2021-01-19 03:22
初期YouTubeも支えたオンラインビデオプラットフォームの老舗JW Playerは今もビジネスの最前線にいる
ソフトウェア
2021-07-07 16:18