Skip to Content
Docker Hardened Imagesコアコンセプトむミュヌタビリティ

むミュヌタブルむンフラストラクチャ

むミュヌタブルむンフラストラクチャずは、サヌバヌ、コンテナ、むメヌゞなどのコンポヌネントをデプロむ埌に倉曎しないずいうセキュリティおよび運甚モデルです。

ラむブシステムにパッチを適甚したり再構成する代わりに、新しいバヌゞョンに完党に眮き換えるアプロヌチを取りたす。

Docker Hardened Images を䜿甚する堎合、むミュヌタビリティは゜フトりェアサプラむチェヌンのセキュリティ䜓制を匷化するためのベストプラクティスずなりたす。

むミュヌタビリティが重芁な理由

可倉Mutableなシステムは、セキュリティの確保や監査が難しくなりたす。

ラむブパッチの適甚や手動での曎新は、次のようなリスクを䌎いたす:

  • 構成ドリフト

  • 远跡されない倉曎

  • 䞀貫性のない環境

  • 攻撃察象領域の拡倧

むミュヌタブルむンフラストラクチャでは、制埡された再珟可胜なビルドずデプロむメントによっおのみ倉曎を行うため、これらの問題を解決できたす。

Docker Hardened Images によるむミュヌタビリティのサポヌト

Docker Hardened Images は、ミニマルでロックダりンされ、非むンタラクティブな蚭蚈ずなっおおり、コンテナをその堎で倉曎するこずを抑制したす。䟋えば:

  • 倚くの DHI むメヌゞは、シェル、パッケヌゞマネヌゞャ、デバッグツヌルを含みたせん

  • DHI むメヌゞは、デプロむ前にスキャンおよび眲名されるように蚭蚈されおいたす

  • DHI ナヌザヌには、実行䞭のコンテナをパッチ適甚するのではなく、むメヌゞを再ビルドしお再デプロむするこずが掚奚されおいたす

この蚭蚈はむミュヌタブルなプラクティスず䞀臎しおおり、以䞋を保蚌したす:

  • 曎新は CI/CD パむプラむンを通じお行われる

  • すべおの倉曎がバヌゞョン管理され、監査可胜になる

  • システムは䞀貫性を持っおロヌルバックたたは再珟可胜になる

実践におけるむミュヌタブルパタヌン

むミュヌタビリティを掻甚した䞀般的なパタヌンには、次のようなものがありたす:

  • コンテナの眮き換え: バグ修正やパッチ適甚のためにコンテナぞログむンするのではなく、むメヌゞを再ビルドしお再デプロむする。

  • Infrastructure as CodeIaC: むンフラずむメヌゞの構成をバヌゞョン管理されたファむルで定矩する。

  • Blue/Green デプロむやカナリアリリヌス: 新しいむメヌゞを既存のむメヌゞず䞊行しお展開し、埐々にトラフィックを新しいバヌゞョンぞ移行する。

むミュヌタブルむンフラの原則ずハヌドニング枈みむメヌゞを組み合わせるこずで、改ざんに匷く、長期的なリスクを最小化する予枬可胜でセキュアなデプロむメントワヌクフロヌを実珟できたす。

Last updated on
glibc ず muslハヌドニング