コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」

今回は「コンテナーの保護にVM関連技術を応用–「Rust」ベースの新ソリューション「Edera」」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 クラウドセキュリティにおける究極の悪夢の1つは、何者かにコンテナーランタイムのセキュリティを突破され、基盤となるOSに侵入されることだ。「Leaky Vessels」などの攻撃では、ハッカーがプログラムに大打撃を与えて、他のコンテナー化されたアプリケーションを破壊し、攻撃者にルートユーザーレベルの権限を付与してしまう可能性がある。つまり、セキュリティが完全に崩壊するということだ。そのような攻撃を防ぐために、「Edera」は古いプログラムを新しい言語に取り込んで、メモリー安全性に優れたコンテナーランタイムを提供する。

 「Rust」で記述されたEderaは、従来のオープンソースのタイプ1ベアメタル仮想マシンハイパーバイザーである「Xen」を基盤としている。このハイパーバイザーを選んだ理由について、Ederaの最高イノベーション責任者で「Alpine Linux」のメンテナーでもあるAriadne Conill氏は、Linuxカーネル内で実行される「KVM」と異なり、専用のタイプ1ハイパーバイザーであるからだと説明した。タイプ1は人気の高いタイプ2ハイパーバイザーよりも本質的に安全性が高い。

 技術に詳しい人なら、「そのとおりだが、どちらのタイプのハイパーバイザーも仮想マシン(VM)用の技術であり、コンテナー向けではないのでは」と思うだろう。それは正しいが、Ederaのチームはハイパーバイザーの設計に着目して、それをコンテナーに移行させた。Ederaの最高経営責任者(CEO)のEmily Long氏は、「ハイパーバイザーは20年近く見直されておらず、クラウドネイティブの環境ではうまく機能しない」と語る。Ederaの開発者が構築しているのは、真の21世紀型のハイパーバイザーだ。

 新しいプログラムは「Krata」を基盤としている。これはOpen Container Initiative(OCI)準拠のコンテナー向けに構築されたXenベースの単一ホストハイパーバイザーだ。コンテナーを完全にメモリーセーフなRustのコントロールプレーンで隔離し、Xenツールを安全な新時代へと導く。また、Ederaはオープンソースのメモリー安全性ランタイムライブラリーである「Lukko」を使用する。このライブラリーは実行時にメモリー安全性違反を検出し、悪用される前にプログラムをクリーンに終了する。

 Ederaは設計段階から安全性が考慮されている。独立したソリューションでは唯一、コンテナーレベルでの隔離機能を提供し、ハイパークラウド、ローカルクラウド、自社サーバーなど、インフラストラクチャーを実行する場所に関係なく、コンテナーエスケープを不可能にする。

 さらに、完成版の「Edera Protect」に一連の高度な機能が搭載される予定だ。これには、エンタープライズコントロールプレーン、マルチクラスター管理、ガイド付きのメモリー安全性違反修正などがあり、すぐに利用できる「Kubernetes」互換性や、プレミアムサポートサービスによって補完される。

 最終的に、Ederaの顧客は、従来の仮想化用とコンテナー用に異なるクラスターを用意するのではなく、ワークロードの種類を組み合わせてクラスターに展開できるようになる。コンテナーを配布するのと同じように従来のVMイメージを配布する機能もサポートされる予定で、コンテナーと従来のVMの両方を扱う際に、開発者の体験の一貫性が向上する。

 Ederaの創設チームのメンバーは、Conill氏、Long氏、最高技術責任者(CTO)のAlex Zenla氏で、全員が女性だ。IT系の男性で構成されることが多い一般的なテクノロジー開発リーダーシップチームとは異なる。3氏の専門分野は、エンジニアリングリーダーシップ、ソフトウェアセキュリティ、製品イノベーション、経営管理など、多岐にわたる。創設者らは、より包括的で、力を与え、安全性の高いテクノロジーの未来を築くという共通のビジョンを持っている。

 Ederaにとっては今が好機だ。コンテナーオーケストレーションの複雑化とKubernetesのセキュリティ脆弱性が原因で、企業がより安全なコンテナーを必要としている中で、Ederaは設計段階から安全性を確保するアプローチを提案して、それらの課題に対処しようとしている。実際に、Rustのメモリー安全性機能と現代的なハイパーバイザー技術を活用する同社独自のアプローチは、コンテナーレベルで強固な隔離機能を提供し、既存の多くのセキュリティツールを時代遅れにする可能性がある。

 現在、誰でもKrataに貢献することができる。Lukkoは米国時間2024年5月1日に最初のリリースが予定されている。創設者たちは間もなく最初の資金調達ラウンドを開始する予定で、そのプロセスを始められることをうれしく思っているという。

 同社の今後の動向が楽しみだ。これはまさにコンテナーセキュリティに対する画期的な新アプローチであり、クラウドネイティブコンピューティングの状況を一変させる可能性が十分にある。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ソフトウェア企業に見る、DevOpsによる製品開発と事業展開の変化
IT関連
2023-01-21 08:28
小学館、自社ECサイトを刷新–出版社ならではのコンテンツ発信を追求
IT関連
2024-01-17 02:55
セキュリティ人材の不足がもたらす深刻な影響–企業がまず見直すべきこととは
IT関連
2021-08-19 14:19
2021年のクラウドインフラ市場は前年比36%増の約20.5兆円に急拡大
IT関連
2022-02-06 16:49
IIJ、「Azure OpenAI Service」を活用した生成AIの導入ソリューションを提供
IT関連
2023-09-23 06:07
DX施策の目標設定と実行–KPIと役割を明確にして進める
IT関連
2022-07-14 20:47
茨城県、4月から婚活支援にAIを導入 診断テストの結果から相性が良い相手を紹介
ロボット・AI
2021-02-09 13:12
ソフトバンクと東京大学、次世代AI人材育成の教育プログラムを実施
IT関連
2022-11-25 15:37
GitHub、GitHub.comへのアクセスでパスキーを導入–パブリックベータ版を提供
IT関連
2023-07-15 02:37
ウエルシア薬局、人事・労務の社内対応にAIチャットボットを活用–問い合わせ件数を70%削減
IT関連
2022-11-18 11:59
SBOMを導入・構築済みの組織はわずか14%–タニウム、SBOM実態調査
IT関連
2023-04-27 16:54
日本独特のサプライチェーンにセキュリティのリスク–ProofpointのウィリーCEO
IT関連
2023-02-28 05:25
原点は「Facebook」–Metaの最高ダイバーシティー責任者が語る、“包括的なメタバース”
IT関連
2023-04-19 14:34
NECプラットフォームズ、掛川新工場を稼働開始–5Gや無人搬送車などを駆使
IT関連
2023-08-31 22:42