2015年8月28日金曜日

コンテナーの世界(6) -モニタリング&セキュリティー! 
                 -TwistLock & Sysdig

この「コンテナーの世界」シリーズでは、前半( )ではコンテナー技術の動向、後半( )では新しいエコサイクルを作るSDSやSDNのスタートアップを紹介してきた。今回はモニタリングでセキュリティー改善にに取り組むスタートアップを紹介しよう。

=TwistLockは新たなコンテナーセキュリティに取り組む!=
企業がコンテナー技術を導入する際の課題は幾つかある。なかでもセキュリティは厄介だ。今年5月、ステルスモードから抜け出たばかりのTwistLock(本社:Tel Aviv & San Francisco)はコンテナーのセキュリティの改善を目的に設立された。Twistlockとは、本来、貨物コンテナーを船舶やトラックで輸送時に固定する緊締装置のこと。眠っていたLinuxコンテナー技術の目を開けさせたのはDockerだしかし単一Linux上で複数のコンテナーを連動実行させるには不安定な要素が多い。それをしっかりと固定させるのがTwistLockの役目である。コンテナーがこれまでの仮想化技術にとって代わるには、安全に稼働させる仕組みが要る。そのための第一歩が発表した「Virtual Container Security Suite」だ。企業が必要とする幅広いコンテナー利用の可視化とその制御が当面の狙いである。ひとつひとつのコンテナーは、膨大なエンタープライズアプリ群の部品であり、実際のところデベロッパーはそれらを再利用しながら開発を進めるこのため、連携型のコンテナーアプリには脆弱性が内在する。TwistLockはこれらへの対応として、洗練したUIで静的なコンテナーイメージとランタイムの両方を可視化させ、加えてパッケージングにはセキュリティーポリシーの導入を要請する。この際、公開脆弱性情報のVCEやプロバイダー、オープンソースプロジェクトなどが提供する情報を元にセキュリティーの脅威を最小化しようと試みる。TwistLockは発表と同時に$2.5M(約3億円)の資金も手に入れ、テイクオフ体制に入った。
TwistLock Diagram

=Sysdigもモニタリングでセキュリティに挑戦!=
次に紹介するSysdigは「Container Visibility Company」を目指してLoris Degioanni氏が2013年に設立した会社だ。Sysdigのβリリースは昨年の4月、システムレベルのモニタリングとトラブルシューティングツールだった。それが進化し、クラウドサービスとなったものが今回発表されたSysdig Cloudだ。Sysdigの利用はSysdigコンポーネントをDocker開発環境のコンテナー上に展開するだけ。Sysdigのアーキテクチャー(下段Slideshare参照)では、通常のアプリやコンテナーとやり取りするカーネル間にフッキングのインスツルメントレイヤーがあり、これによってコンテナー上のSysdigはクラウドを利用しながら、収集される全アプリデータを分析する。対応するソフトはCentOSやCoreOS、ubuntuなど各種OS、DockerやRocketなどの各種コンテナー、MySQLやPostgreSQL、Riakなどの各種DB、さらにAWSクラウドなどでも構わない。Sysdigが提供する分析サービスは3つ。①Real Time Dashboard-全てのパフォーマンス情報をリアルタイムで表示し、これによってシステムの異常や特殊な動きを見つけ出す、②Historical Replay-これらの表示データは全てクラウド上に格納され、どの部分でも遡って再表示が出来る、③Dynamic Topology-さらにSysdigは全てのコンテナー化されたインフラを自動的にトポロジーとして図式化する。同社が考えだしたこの方式は「ContainerVision」として、現在特許申請中だ。VCからの投資は、設立時に$2.3M(約2.7億円)のシーズファンド、今回の発表時にSeries-Aとして$10.7M(約138億円)を獲得し、拡販への体制が整った。


=エンタープライズのコンテナーセキュリティーとは!=
以上見てきたように、同一OS上でリソースシェアリングするコンテナー技術は、これまでのハイパーバイザーに比べて、パフォーマンスは高いが、セキュリティー面で難がある。この課題に関するパーフェクトな解決策は見当たらない。そこで運用時に徹底したモニタリングをしてトラブルの早期発見に努め、合わせてパフォーマンス監視も実行する。また、開発時の再利用のリパッケージングにはポリシー適用も効果的だ。いずれにしても、エンタープライズアプリのコンテナー利用は、クローズドな環境が幸いして、当面は徹底したモニタリングやポリシー適用で凌ぐことになるようである。