コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」

今回は「コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 クラウドセキュリティにおける究極の悪夢の1つは、何者かにコンテナーランタイムのセキュリティを突破され、基盤となるOSに侵入されることだ。「Leaky Vessels」などの攻撃では、ハッカーがプログラムに大打撃を与えて、他のコンテナー化されたアプリケーションを破壊し、攻撃者にルートユーザーレベルの権限を付与してしまう可能性がある。つまり、セキュリティが完全に崩壊するということだ。そのような攻撃を防ぐために、「Edera」は古いプログラムを新しい言語に取り込んで、メモリー安全性に優れたコンテナーランタイムを提供する。

 「Rust」で記述されたEderaは、従来のオープンソースのタイプ1ベアメタル仮想マシンハイパーバイザーである「Xen」を基盤としている。このハイパーバイザーを選んだ理由について、Ederaの最高イノベーション責任者で「Alpine Linux」のメンテナーでもあるAriadne Conill氏は、Linuxカーネル内で実行される「KVM」と異なり、専用のタイプ1ハイパーバイザーであるからだと説明した。タイプ1は人気の高いタイプ2ハイパーバイザーよりも本質的に安全性が高い。

 技術に詳しい人なら、「そのとおりだが、どちらのタイプのハイパーバイザーも仮想マシン(VM)用の技術であり、コンテナー向けではないのでは」と思うだろう。それは正しいが、Ederaのチームはハイパーバイザーの設計に着目して、それをコンテナーに移行させた。Ederaの最高経営責任者(CEO)のEmily Long氏は、「ハイパーバイザーは20年近く見直されておらず、クラウドネイティブの環境ではうまく機能しない」と語る。Ederaの開発者が構築しているのは、真の21世紀型のハイパーバイザーだ。

 新しいプログラムは「Krata」を基盤としている。これはOpen Container Initiative(OCI)準拠のコンテナー向けに構築されたXenベースの単一ホストハイパーバイザーだ。コンテナーを完全にメモリーセーフなRustのコントロールプレーンで隔離し、Xenツールを安全な新時代へと導く。また、Ederaはオープンソースのメモリー安全性ランタイムライブラリーである「Lukko」を使用する。このライブラリーは実行時にメモリー安全性違反を検出し、悪用される前にプログラムをクリーンに終了する。

 Ederaは設計段階から安全性が考慮されている。独立したソリューションでは唯一、コンテナーレベルでの隔離機能を提供し、ハイパークラウド、ローカルクラウド、自社サーバーなど、インフラストラクチャーを実行する場所に関係なく、コンテナーエスケープを不可能にする。

 さらに、完成版の「Edera Protect」に一連の高度な機能が搭載される予定だ。これには、エンタープライズコントロールプレーン、マルチクラスター管理、ガイド付きのメモリー安全性違反修正などがあり、すぐに利用できる「Kubernetes」互換性や、プレミアムサポートサービスによって補完される。

 最終的に、Ederaの顧客は、従来の仮想化用とコンテナー用に異なるクラスターを用意するのではなく、ワークロードの種類を組み合わせてクラスターに展開できるようになる。コンテナーを配布するのと同じように従来のVMイメージを配布する機能もサポートされる予定で、コンテナーと従来のVMの両方を扱う際に、開発者の体験の一貫性が向上する。

 Ederaの創設チームのメンバーは、Conill氏、Long氏、最高技術責任者(CTO)のAlex Zenla氏で、全員が女性だ。IT系の男性で構成されることが多い一般的なテクノロジー開発リーダーシップチームとは異なる。3氏の専門分野は、エンジニアリングリーダーシップ、ソフトウェアセキュリティ、製品イノベーション、経営管理など、多岐にわたる。創設者らは、より包括的で、力を与え、安全性の高いテクノロジーの未来を築くという共通のビジョンを持っている。

 Ederaにとっては今が好機だ。コンテナーオーケストレーションの複雑化とKubernetesのセキュリティ脆弱性が原因で、企業がより安全なコンテナーを必要としている中で、Ederaは設計段階から安全性を確保するアプローチを提案して、それらの課題に対処しようとしている。実際に、Rustのメモリー安全性機能と現代的なハイパーバイザー技術を活用する同社独自のアプローチは、コンテナーレベルで強固な隔離機能を提供し、既存の多くのセキュリティツールを時代遅れにする可能性がある。

 現在、誰でもKrataに貢献することができる。Lukkoは米国時間2024年5月1日に最初のリリースが予定されている。創設者たちは間もなく最初の資金調達ラウンドを開始する予定で、そのプロセスを始められることをうれしく思っているという。

 同社の今後の動向が楽しみだ。これはまさにコンテナーセキュリティに対する画期的な新アプローチであり、クラウドネイティブコンピューティングの状況を一変させる可能性が十分にある。

元記事: https://japan.zdnet.com/article/35217807/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
Docker創始者らが開発、ビルド/テスト/デプロイの自動化をポータブルにするツール「Dagger」登場。そのままローカルでもGitHubでもCircleCIでも実行可能に
CI/CD
2022-04-19 11:18
Apple Podcastランキング1位「歴史を面白く学ぶコテンラジオ」を運営するCOTENが8400万円を調達
EdTech
2021-07-02 08:00
Zoom、遠隔医療向けモバイルクライアントを提供開始–まず「iOS」から
IT関連
2021-08-11 23:08
VL-BusとPnP ISA PCの仕様をMicrosoftとIntelが決める時代、始まる :“PC”あるいは“Personal Computer”と呼ばれるもの、その変遷を辿る(1/4 ページ)
トップニュース
2021-04-14 23:19
アップルがShazamKitでAndroidも含む開発者にアプリのオーディオ認識機能を提供
ソフトウェア
2021-06-10 06:17
北海道新聞社とNEC、地域経済活性化で連携–観光情報を「LINE」で発信
IT関連
2023-06-14 19:04
パナソニック、USB Type-C搭載の埋込型USBコンセント発売へ 8580円から
最近の注目ニュース
2021-04-21 09:31
メニーコアに最適化した国産の高性能RDB「劔(Tsurugi)」、ソースコードの公開を開始
RDB
2023-10-06 08:53
政府、6月14日からタクシー内で動画広告 コロナ対策喚起
IT関連
2021-06-10 13:56
コロナ禍で浮き彫りになったクリエイティブ企業の課題 経験をポジティブに生かすためにできること
PR
2021-01-29 21:18
富士通提案のAI技術、Linux FoundationがOSSプロジェクトに承認
IT関連
2023-09-16 09:43
国内のエンタープライズインフラ、2021年は需要低迷期から回復期へとシフト
IT関連
2021-06-04 23:30
リース、PayPay銀行と提携–クラウド上で家賃の入金確認ができるサービスを提供
IT関連
2022-08-07 05:56
企業による従業員への監視強化に抵抗する中国の人々
IT関連
2022-07-29 09:22