コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」

今回は「コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 クラウドセキュリティにおける究極の悪夢の1つは、何者かにコンテナーランタイムのセキュリティを突破され、基盤となるOSに侵入されることだ。「Leaky Vessels」などの攻撃では、ハッカーがプログラムに大打撃を与えて、他のコンテナー化されたアプリケーションを破壊し、攻撃者にルートユーザーレベルの権限を付与してしまう可能性がある。つまり、セキュリティが完全に崩壊するということだ。そのような攻撃を防ぐために、「Edera」は古いプログラムを新しい言語に取り込んで、メモリー安全性に優れたコンテナーランタイムを提供する。

 「Rust」で記述されたEderaは、従来のオープンソースのタイプ1ベアメタル仮想マシンハイパーバイザーである「Xen」を基盤としている。このハイパーバイザーを選んだ理由について、Ederaの最高イノベーション責任者で「Alpine Linux」のメンテナーでもあるAriadne Conill氏は、Linuxカーネル内で実行される「KVM」と異なり、専用のタイプ1ハイパーバイザーであるからだと説明した。タイプ1は人気の高いタイプ2ハイパーバイザーよりも本質的に安全性が高い。

 技術に詳しい人なら、「そのとおりだが、どちらのタイプのハイパーバイザーも仮想マシン(VM)用の技術であり、コンテナー向けではないのでは」と思うだろう。それは正しいが、Ederaのチームはハイパーバイザーの設計に着目して、それをコンテナーに移行させた。Ederaの最高経営責任者(CEO)のEmily Long氏は、「ハイパーバイザーは20年近く見直されておらず、クラウドネイティブの環境ではうまく機能しない」と語る。Ederaの開発者が構築しているのは、真の21世紀型のハイパーバイザーだ。

 新しいプログラムは「Krata」を基盤としている。これはOpen Container Initiative(OCI)準拠のコンテナー向けに構築されたXenベースの単一ホストハイパーバイザーだ。コンテナーを完全にメモリーセーフなRustのコントロールプレーンで隔離し、Xenツールを安全な新時代へと導く。また、Ederaはオープンソースのメモリー安全性ランタイムライブラリーである「Lukko」を使用する。このライブラリーは実行時にメモリー安全性違反を検出し、悪用される前にプログラムをクリーンに終了する。

 Ederaは設計段階から安全性が考慮されている。独立したソリューションでは唯一、コンテナーレベルでの隔離機能を提供し、ハイパークラウド、ローカルクラウド、自社サーバーなど、インフラストラクチャーを実行する場所に関係なく、コンテナーエスケープを不可能にする。

 さらに、完成版の「Edera Protect」に一連の高度な機能が搭載される予定だ。これには、エンタープライズコントロールプレーン、マルチクラスター管理、ガイド付きのメモリー安全性違反修正などがあり、すぐに利用できる「Kubernetes」互換性や、プレミアムサポートサービスによって補完される。

 最終的に、Ederaの顧客は、従来の仮想化用とコンテナー用に異なるクラスターを用意するのではなく、ワークロードの種類を組み合わせてクラスターに展開できるようになる。コンテナーを配布するのと同じように従来のVMイメージを配布する機能もサポートされる予定で、コンテナーと従来のVMの両方を扱う際に、開発者の体験の一貫性が向上する。

 Ederaの創設チームのメンバーは、Conill氏、Long氏、最高技術責任者(CTO)のAlex Zenla氏で、全員が女性だ。IT系の男性で構成されることが多い一般的なテクノロジー開発リーダーシップチームとは異なる。3氏の専門分野は、エンジニアリングリーダーシップ、ソフトウェアセキュリティ、製品イノベーション、経営管理など、多岐にわたる。創設者らは、より包括的で、力を与え、安全性の高いテクノロジーの未来を築くという共通のビジョンを持っている。

 Ederaにとっては今が好機だ。コンテナーオーケストレーションの複雑化とKubernetesのセキュリティ脆弱性が原因で、企業がより安全なコンテナーを必要としている中で、Ederaは設計段階から安全性を確保するアプローチを提案して、それらの課題に対処しようとしている。実際に、Rustのメモリー安全性機能と現代的なハイパーバイザー技術を活用する同社独自のアプローチは、コンテナーレベルで強固な隔離機能を提供し、既存の多くのセキュリティツールを時代遅れにする可能性がある。

 現在、誰でもKrataに貢献することができる。Lukkoは米国時間2024年5月1日に最初のリリースが予定されている。創設者たちは間もなく最初の資金調達ラウンドを開始する予定で、そのプロセスを始められることをうれしく思っているという。

 同社の今後の動向が楽しみだ。これはまさにコンテナーセキュリティに対する画期的な新アプローチであり、クラウドネイティブコンピューティングの状況を一変させる可能性が十分にある。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
SITAへのサイバー攻撃で450万人の個人情報が漏えい–エア・インディアが明らかに
IT関連
2021-05-25 14:09
AI・データ時代を支えるストレージやデータ保護ベンダーの展望
IT関連
2024-01-13 00:13
「Slack」と「Trello」を接続して生産性を高めるには
IT関連
2024-04-03 03:58
デル、最新型ミッションクリティカルストレージを発表
IT関連
2023-10-27 11:10
「dotData Cloud」の機能強化版をリリース–セキュリティ強化やフルマネージドなど
IT関連
2023-04-08 01:11
「LINE WORKS」「奉行クラウド」「旗振〜hata free〜」が連携–経営層・現場に必要な情報を生成・通知
IT関連
2022-07-26 23:09
「スライビング」な従業員の育成へ–パナソニック コネクト、23年度からジョブ型導入
IT関連
2023-02-24 01:52
違法コピーがはびこる中国で高価なスマホケースが人気に
IT関連
2022-05-07 10:17
病気の診断向上を目指し検査とデータ統合を行うHalo Dxが約20億円調達
ヘルステック
2021-03-07 09:09
Apple Watch「心電図」、ついに利用可能に watchOS 7.3から
-
2021-01-23 22:13
データ仮想化のイノベーションをリードしていく–Denodo、2022年度の事業方針
IT関連
2022-03-05 06:48
テンセントらに青少年モード搭載を迫る中国と回避する子供たち
IT関連
2021-08-10 09:15
[速報]Google、再生可能エネルギー活用のためデータセンター間で動的にタスクを移動できるようにしたと発表。Google I/O 2021
Google
2021-05-19 17:30
マイクロソフト「Outlook」iOS版、音声機能強化–メール作成やスケジュール予約など
IT関連
2021-06-11 20:30