コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」

今回は「コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 クラウドセキュリティにおける究極の悪夢の1つは、何者かにコンテナーランタイムのセキュリティを突破され、基盤となるOSに侵入されることだ。「Leaky Vessels」などの攻撃では、ハッカーがプログラムに大打撃を与えて、他のコンテナー化されたアプリケーションを破壊し、攻撃者にルートユーザーレベルの権限を付与してしまう可能性がある。つまり、セキュリティが完全に崩壊するということだ。そのような攻撃を防ぐために、「Edera」は古いプログラムを新しい言語に取り込んで、メモリー安全性に優れたコンテナーランタイムを提供する。

 「Rust」で記述されたEderaは、従来のオープンソースのタイプ1ベアメタル仮想マシンハイパーバイザーである「Xen」を基盤としている。このハイパーバイザーを選んだ理由について、Ederaの最高イノベーション責任者で「Alpine Linux」のメンテナーでもあるAriadne Conill氏は、Linuxカーネル内で実行される「KVM」と異なり、専用のタイプ1ハイパーバイザーであるからだと説明した。タイプ1は人気の高いタイプ2ハイパーバイザーよりも本質的に安全性が高い。

 技術に詳しい人なら、「そのとおりだが、どちらのタイプのハイパーバイザーも仮想マシン(VM)用の技術であり、コンテナー向けではないのでは」と思うだろう。それは正しいが、Ederaのチームはハイパーバイザーの設計に着目して、それをコンテナーに移行させた。Ederaの最高経営責任者(CEO)のEmily Long氏は、「ハイパーバイザーは20年近く見直されておらず、クラウドネイティブの環境ではうまく機能しない」と語る。Ederaの開発者が構築しているのは、真の21世紀型のハイパーバイザーだ。

 新しいプログラムは「Krata」を基盤としている。これはOpen Container Initiative(OCI)準拠のコンテナー向けに構築されたXenベースの単一ホストハイパーバイザーだ。コンテナーを完全にメモリーセーフなRustのコントロールプレーンで隔離し、Xenツールを安全な新時代へと導く。また、Ederaはオープンソースのメモリー安全性ランタイムライブラリーである「Lukko」を使用する。このライブラリーは実行時にメモリー安全性違反を検出し、悪用される前にプログラムをクリーンに終了する。

 Ederaは設計段階から安全性が考慮されている。独立したソリューションでは唯一、コンテナーレベルでの隔離機能を提供し、ハイパークラウド、ローカルクラウド、自社サーバーなど、インフラストラクチャーを実行する場所に関係なく、コンテナーエスケープを不可能にする。

 さらに、完成版の「Edera Protect」に一連の高度な機能が搭載される予定だ。これには、エンタープライズコントロールプレーン、マルチクラスター管理、ガイド付きのメモリー安全性違反修正などがあり、すぐに利用できる「Kubernetes」互換性や、プレミアムサポートサービスによって補完される。

 最終的に、Ederaの顧客は、従来の仮想化用とコンテナー用に異なるクラスターを用意するのではなく、ワークロードの種類を組み合わせてクラスターに展開できるようになる。コンテナーを配布するのと同じように従来のVMイメージを配布する機能もサポートされる予定で、コンテナーと従来のVMの両方を扱う際に、開発者の体験の一貫性が向上する。

 Ederaの創設チームのメンバーは、Conill氏、Long氏、最高技術責任者(CTO)のAlex Zenla氏で、全員が女性だ。IT系の男性で構成されることが多い一般的なテクノロジー開発リーダーシップチームとは異なる。3氏の専門分野は、エンジニアリングリーダーシップ、ソフトウェアセキュリティ、製品イノベーション、経営管理など、多岐にわたる。創設者らは、より包括的で、力を与え、安全性の高いテクノロジーの未来を築くという共通のビジョンを持っている。

 Ederaにとっては今が好機だ。コンテナーオーケストレーションの複雑化とKubernetesのセキュリティ脆弱性が原因で、企業がより安全なコンテナーを必要としている中で、Ederaは設計段階から安全性を確保するアプローチを提案して、それらの課題に対処しようとしている。実際に、Rustのメモリー安全性機能と現代的なハイパーバイザー技術を活用する同社独自のアプローチは、コンテナーレベルで強固な隔離機能を提供し、既存の多くのセキュリティツールを時代遅れにする可能性がある。

 現在、誰でもKrataに貢献することができる。Lukkoは米国時間2024年5月1日に最初のリリースが予定されている。創設者たちは間もなく最初の資金調達ラウンドを開始する予定で、そのプロセスを始められることをうれしく思っているという。

 同社の今後の動向が楽しみだ。これはまさにコンテナーセキュリティに対する画期的な新アプローチであり、クラウドネイティブコンピューティングの状況を一変させる可能性が十分にある。

元記事: https://japan.zdnet.com/article/35217807/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
極小3Dプリント技術のScronaは大規模な製造業向けのプランを立ち上げる
IT関連
2022-02-17 08:59
農機具と生産者のマッチングや修理・買取を支援する農機具流通サービス「ノウキナビ」が1.9億円調達
ネットサービス
2021-02-17 22:29
イオングループ、DXを支えるITファイナンス基盤としてSaaS型のTBMソリューションを導入
IT関連
2022-05-13 11:21
Android IDEの最新版「Android Studio Arctic Fox (2020.3.1)」ベータ公開。Wear OS対応では心拍数のエミュレートが可能に
Android
2021-05-25 16:48
New Relic、部門横断でトラブル原因を特定する新機能–小売業の課題にアプローチ
IT関連
2024-02-27 06:54
富士通、ドイツのサーキットをデジタル化–映像でAIが安全性を瞬時に判断
IT関連
2023-01-25 18:50
東大医科研とIBMが新型コロナウイルスのゲノム解析システムを共同開発 変異株対策に一手
科学・テクノロジー
2021-06-10 03:38
ワークデイの次期単独CEO、日本市場への思いを明かす
IT関連
2023-10-19 15:20
3年で進んだヤマト運輸のデータドリブンな組織運営(後編)
IT関連
2023-03-03 00:08
東京オリンピックを数字で振り返る 暑さ、SNS、LGBTQ……
IT関連
2021-08-11 20:58
「100日後に死ぬワニ」→「100日間生きたワニ」 アニメ映画は「コロナ禍で改題、脚本も書き直し」
くらテク
2021-02-18 23:05
IT、製造、金融11社が「量子技術による新産業創出協議会」を設立へ
IT関連
2021-06-01 09:26
超高速開発やクラウドなど事業構造変革が加速–JBCC HDの2022年度決算
IT関連
2022-05-14 02:31
フィッシングのなりすましブランド–トップはマイクロソフト、日本は「au」
IT関連
2022-08-07 01:22