コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術|978STORE

978STORE

【978STORE キュー・ナナ・ハチ ストア】は市販書籍の電子版・電子オリジナル書籍・オンデマンド書籍が買えるお店です

29501640110000000006.jpg

購入形態
PDF
3,520円
数量:

カートに追加されました。

カートに入れる
紙の本を買う

コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術

インプレス

コンテナセキュリティ要素技術の解説書!

■スペシャリストが執筆したコンテナセキュリティ要素技術の解説書!
本書は、Liz Rice『Container Security:Fundamental Technology Concepts that Protect Containerized Applications』O'Reilly Media, Inc.の翻訳書です。

スケーラビリティと復元力を促進するために、現在多くの組織がコンテナとオーケストレーションを使用してクラウドネイティブ環境でアプリケーションを実行しています。しかし、そのデプロイの安全性については、どのように判断すれば良いのでしょうか。本書は、開発者、運用者、セキュリティ専門家がセキュリティリスクを評価し、適切なソリューションを決定するために、コンテナの主要な要素技術を検証する実践的な書籍です。

著者のLiz Rice(Isovalent社 Chief Open Source Officer)は、コンテナベースのシステムでよく使われるビルディングブロックが Linuxでどのように構築されているかに着目しています。コンテナをデプロイする際に何が起きているかを理解し、デプロイされたアプリケーションに影響を与える可能性のある潜在的なセキュリティリスクを評価する方法を学ぶことができます。コンテナアプリケーションをkubectlやdockerで実行し、psやgrepなどのLinuxコマンドラインツールを使用していれば、すぐにでも始めることができます。

○コンテナへの攻撃経路について知る
○コンテナを支えるLinuxの構造について知る
○コンテナの堅牢化のための方法を検討
○設定ミスによるコンテナへの侵害の危険性を理解する
○コンテナイメージビルドのベストプラクティスを学ぶ
○既知のソフトウェア脆弱性を持つコンテナイメージを特定する
○コンテナ間のセキュアな接続を活用する
○セキュリティツールを使用して、デプロイされたアプリケーションに対する攻撃を防止する

▼本書の特徴
○コンテナセキュリティのスペシャリストが執筆した解説書
○コンテナのセキュリティの要素技術を学ぶことができる
○コンテナの仕組みと脆弱性(開発・運用時に注意すべき箇所)、その対策方法がわかる

▼対象読者
○コンテナのセキュリティの要素技術に興味がある人
○コンテナ化を行う開発者・運用者

発売日:2023-04-12

ページ数:280ページ

目次

表紙
本書情報および正誤表のWebページ
監訳者のことば
まえがき
Chapter 1 コンテナセキュリティの脅威
1.1 リスク、脅威、緩和策
1.2 コンテナ脅威モデル
1.3 セキュリティ境界
1.4 マルチテナント
1.5 セキュリティの原則
1.6 まとめ
Chapter 2 Linuxシステムコール、パーミッション、capability
2.1 システムコール
2.2 ファイルパーミッション
2.3 capability
2.4 権限昇格
2.5 まとめ
Chapter 3 コントロールグループ
3.1 cgroupの階層
3.2 cgroupの作成
3.3 リソースの上限設定
3.4 cgroupへのプロセス割り当て
3.5 Dockerにおけるcgroupの利用
3.6 cgroup v2
3.7 まとめ
Chapter 4 コンテナの分離
4.1 namespace
4.2 ホスト名の分離
4.3 プロセスIDの分離
4.4 rootディレクトリの変更
4.5 namespaceとrootディレクトリの変更の組み合わせ
4.6 mount namespace
4.7 network namespace
4.8 user namespace
4.9 IPC namespace
4.10 cgroup namespace
4.11 ホストから見たコンテナプロセス
4.12 コンテナのホストマシン
4.13 まとめ
Chapter 5 仮想マシン
5.1 マシンの起動
5.2 VMMの世界へ
5.3 トラップ&エミュレート
5.4 仮想化不可能な命令の取り扱い
5.5 プロセスの分離とセキュリティ
5.6 仮想マシンのデメリット
5.7 コンテナの分離とVMの分離の比較
5.8 まとめ
Chapter 6 コンテナイメージ
6.1 rootファイルシステムとイメージの設定
6.2 実行時の設定情報の上書き
6.3 OCI標準
6.4 イメージの構成
6.5 イメージのビルド
6.6 イメージの格納方法
6.7 イメージの特定
6.8 イメージセキュリティ
6.9 ビルド時のセキュリティ
6.10 イメージレジストリのセキュリティ
6.11 イメージデプロイメントのセキュリティ
6.12 GitOpsとデプロイメントセキュリティ
6.13 まとめ
Chapter 7 イメージに含まれるソフトウェアの脆弱性
7.1 脆弱性調査
7.2 脆弱性、パッチ、ディストリビューション
7.3 アプリケーションレベルの脆弱性
7.4 脆弱性リスクマネジメント/7.5 脆弱性スキャン
7.6 インストールされているパッケージ
7.7 コンテナイメージスキャン
7.8 スキャンツール
7.9 CI/CDパイプラインにおけるスキャン
7.10 脆弱なイメージの実行防止/7.11 ゼロデイ脆弱性
7.12 まとめ
Chapter 8 コンテナ分離の強化
8.1 seccomp
8.2 AppArmor
8.3 SELinux
8.4 gVisor
8.5 Kata Containers
8.6 Firecracker
8.7 Unikernel
8.8 まとめ
Chapter 9 コンテナエスケープ
9.1 デフォルトでのコンテナのroot実行
9.2 --privilegedオプションとcapability
9.3 機密性の高いディレクトリのマウント
9.4 Dockerソケットのマウント
9.5 コンテナとホスト間でのnamespaceの共有
9.6 サイドカーコンテナ
9.7 まとめ
Chapter 10 コンテナネットワークセキュリティ
10.1 コンテナファイアウォール
10.2 OSI参照モデル
10.3 IPパケットの送信
10.4 コンテナのIPアドレス
10.5 ネットワークの分離
10.6 L3/L4ルーティングとルール
10.7 ネットワークポリシー
10.8 サービスメッシュ
10.9 まとめ
Chapter 11 TLSによるコンポーネントの安全な接続
11.1 セキュアな接続
11.2 X.509証明書
11.3 TLS接続
11.4 コンテナ間のセキュアな接続
11.5 証明書の失効
11.6 まとめ
Chapter 12 コンテナへのシークレットの受け渡し
12.1 シークレットの特性
12.2 コンテナへの情報の取り込み
12.3 Kubernetes Secret
12.4 シークレットはrootでアクセス可能
12.5 まとめ
Chapter 13 コンテナのランタイム保護
13.1 コンテナイメージプロファイル
13.2 Drift Prevention
13.3 まとめ
Chapter 14 コンテナとOWASPトップ10
14.1 インジェクション
14.2 認証の不備/14.3 機密情報の露出
14.4 XML外部エンティティ参照(XXE)/14.5 アクセス制御の不備
14.6 セキュリティの設定ミス
14.7 クロスサイトスクリプティング(XSS)/14.8 安全でないデシリアライゼーション
14.9 既知の脆弱性を持つコンポーネントの使用
14.10 不十分なログとモニタリング
14.11 まとめ
付録 A セキュリティチェックリスト
おわりに
索引
著者紹介
監修/訳者紹介
奥付

著者プロフィール

  • Liz Rice(著者)

    ■著者
    ●Liz Rice(リズ・ライス)
    コンテナセキュリティを専門とするAqua Security社で、VP of Open Source EngineeringとしてTrivy、Tracee、kubehunter、kube-benchなどのプロジェクトを統括。CNCFのTechnical Oversight Committeeであり、コペンハーゲン、上海、シアトルで開催されたKubeCon+CloudNativeCon 2018では共同議長を務めた。ネットワークプロトコルや分散システム、VOD、音楽、VoIPなどのデジタル技術分野での仕事において、ソフトウェア開発、チーム、プロダクトマネジメントの豊富な経験を持つ。コードに触れていないときは、生まれ故郷のロンドンよりも天気の良い場所で自転車に乗ったり、Zwiftでのバーチャルレースに参加したりしている。

  • 株式会社スリーシェイク 監修(監修)

    ■監修
    ●株式会社スリーシェイク(3-shake Inc.) https://3-shake.com/
    SREコンサルティング事業「Sreake(スリーク)」を中心に、AWS/Google Cloud/Kubernetesに精通したプロフェッショナル集団が技術戦略から設計・開発・運用まで一貫してサポートするテックカンパニー。

  • 水元 恭平 訳(翻訳)

    ●水元 恭平(みずもと きょうへい)
    Windows環境でのアプリケーション開発を経験後、株式会社スリーシェイクでSRE/CSIRTとして技術支援を行っている。専門分野はコンテナ・クラウドセキュリティとKubernetes。CloudNative Days Tokyo 2021実行委員。

  • 生賀 一輝 訳(翻訳)

    ●生賀 一輝(しょうか いっき)
    事業会社のインフラエンジニア、株式会社ユーザーベースのSREとして従事後、株式会社スリーシェイクに入社。日々、クライアントの要件に応じて多角的なSRE支援を行っている。専門分野はクラウドインフラとKubernetesエコシステム。過去にGoogle Cloud Anthos DayやKubernetesイベント等に登壇。

  • 戸澤 涼 訳(翻訳)

    ●戸澤 涼(とざわ りょう)
    株式会社スリーシェイクに新卒入社。現在3年目。AWS/Google Cloud領域でKubernetesを活用したいお客様に対して、SREとして技術支援を行なっている。クラウドネイティブやKubernetesをテーマに社内外での登壇経験あり。

  • 元内 柊也 訳(翻訳)

    ●元内 柊也(もとうち しゅうや)
    インフラエンジニアとしてホスティングサービスの開発、運用を経て、現在は株式会社スリーシェイクにてソフトウェアエンジニアとして勤務。Webシステムの歴史、運用、開発について興味があり、SREのような信頼性の観点からのプラクティスや運用技術をプロダクトに落とし込めるように日夜開発を行っている。

絶賛!発売中!

書籍一覧へ

  • 9784862511102.jpg
    無血刺絡の臨床
    医学
  • 20234_1014930_s.jpg
    ラーメン二郎にまなぶ経営学
    ビジネス・経済 読み物
    常に大行列ができている「ラーメン二郎」はなぜそれほど人気があるのか。26の視点でその秘訣を明らかにしている本書で、ポジショニング、コア・バリュー、組織設計と組織文化などの基本が学べる。
  • 20234_1014931_s.jpg
    判断と決断
    経営・マーケティング
    リーダーとして大切なことはすべてラグビーの中にあった。早稲田を大学選手権連覇に導いた若き智将・中竹竜二が 明かす新しい経営論。不完全さを強みに変えるためのメソッド満載。
  • 20553_1014312_s.jpg
    田母神流ブレない生き方
    人文・思想その他
    「あの騒動の中でも私はまったく動じなかった。なぜなら“日本をよりよくする”という信念があったからだ」。元航空自衛隊トップの著者が、自身の生い立ちから自衛隊に入隊し、幕僚長になるまでの経緯や、懸賞論文事件の裏で起きていた事実を自らの生き方とともに告白。人の目を気にせず、流されず、意志を貫く人生論を伝授!

7209件中 7137-7140件目先頭前へ1781178217831784178517861787178817891790最後

978STORE