利用可能な Docker Hardened Images の種類

Docker Hardened Images（DHI）は、開発から本番運用までの多様なニーズに対応するために構築された、セキュリティ強化済みコンテナイメージの包括的なカタログです。

フレームワークおよびアプリケーションイメージ

DHI には、セキュリティとコンプライアンスを確保するためにハードニングおよび保守が施された、人気のあるフレームワークやアプリケーションのイメージが揃っています。

これらのイメージは既存のワークフローにシームレスに統合できるため、開発者はセキュリティを犠牲にすることなくアプリケーション開発に集中できます。

たとえば、DHI カタログには以下のようなリポジトリが含まれています：

Docker Hardened Images は、複数のベースイメージオプションで提供されており、環境やワークロード要件に最適なものを柔軟に選択できます：

Debian ベースのイメージ: glibc ベースの環境ですでに運用している場合に適しています。Debian は広く利用されており、多くの言語エコシステムやエンタープライズ環境との高い互換性を持っています。
Alpine ベースのイメージ: musl libc を使用した、より小型かつ軽量な選択肢です。イメージサイズが小さいため、pull が高速で、ディスクフットプリントも抑えられます。

各イメージは、シェル・パッケージマネージャ・デバッグツールなどの不要なコンポーネントを排除することで、最小限かつセキュアな実行レイヤーを維持しています。これにより、攻撃対象領域を削減しつつ、一般的なランタイム環境との互換性を確保しています。

例として、以下のようなタグがあります:

アプリケーションのライフサイクルの各段階に対応するため、DHI はすべての言語フレームワークイメージおよび一部のアプリケーションイメージに対して、次の2つのバリアントを提供しています：

開発用（dev）イメージ: 開発ツールやライブラリがあらかじめ含まれており、安全な環境でアプリケーションのビルドやテストを行うのに適しています。シェル、パッケージマネージャ、root ユーザー、その他の開発に必要なツールが含まれています。
実行時（runtime）イメージ: 開発ツールを取り除き、アプリケーションの実行に必要な最小限のコンポーネントのみを含むことで、本番環境における攻撃対象領域を最小化します。

この分離により、マルチステージビルドが可能となり、開発者は安全なビルド環境でコードをコンパイルし、スリムな実行時イメージでデプロイするという構成を実現できます。

たとえば、DHI のリポジトリには以下のようなタグが存在することがあります:

一部の Docker Hardened Images には、-fips バリアントが用意されています。これらのバリアントでは、FIPS 140（米国政府による暗号モジュールのセキュリティ標準）に準拠した暗号モジュールが使用されています。

FIPS バリアントは、機密性の高い環境や規制対象の環境において、暗号の使用に関する法令やコンプライアンス要件を満たすことを目的としています。

FIPS バリアントは、タグ名に -fips が含まれていることで識別できます。

例:

FIPS バリアントは、他の Docker Hardened Images と同様に使用可能であり、規制産業や暗号検証が求められるコンプライアンス基準下で運用するチームに最適です。