CoreOSはエンドツーエンドの信頼できるコンピューティングをコンテナにもたらします

ITの誰もがコンテナを愛しています。これらを使用すると、同じサーバー上の仮想マシン(VM)として4〜6倍の数のサーバーアプリケーションインスタンスを実行できます。さて、もしあなただけが納得のいくものを簡単に確保できるならば。

分散型トラステッドコンピューティングのCoreOSの構造は、起動から起動までのコンテナをロックします。これは、Linuxとコンテナ企業のCoreOSが、Distributed Trusted Computingという新しいプログラムであるTectonicに付属している場所です。

テククトニックは、クラウド上のコンテナと仮想マシン(VM)のクラスタを調整して管理できる、実証済みのテクノロジーであるGoogle Kubernetesを使用しています。すべてのGoogleアプリケーションは、検索でさえ、Kubernetesが管理するコンテナで動作します。

CoreOSはKubernetesを企業のデータセンターとクラウドにもたらしました。 Distributed Trusted Computingのこの最新リリースでは、分散アプリケーション層からコンテナ、ノード、オペレーティングシステムまで、すべてが保護されたハードウェア主導の暗号検証です。同社は、この新しいテククトニックに加えて、「コンテナを構築、運営、管理する最も信頼できる安全な場所」と理由を付けて主張している。

潜在的に侵害されたデータセンターや敵対的なデータセンターの状況であっても、個々のノードとクラスタの整合性を検証して信頼すること、アプリケーションコンテナ、データ、または秘密を配布する前にシステム状態を確認すること、ファームウェア、ブートローダ、 ;監査ログを使用して、システム上で実行されたコンテナを暗号で検証する

CoreOSのCEOであるAlex Polvi氏は、セキュリティはCoreOSの使命の中心であると述べています。「まったく新しいクラスのコンピューティングを市場に投入することはまれであり、分散型トラステッドコンピューティング(DTC)これは、企業のセキュリティ機能の一歩を踏み出し、初めて暗号で保証されたエンドツーエンドの完全性と環境の制御を提供します。

DTCを使用すると、企業は分散アプリケーションレイヤからハードウェアまで、環境全体の構成に関する暗号による保証を受けることができます。これにより、管理者は

DTCは、検証済みのシステムプラットフォームを提供するSecure Bootと、Secure Bootedノードのクラスタ上で実行されているコンテナを分離し、暗号化して検証および監査するハードウェアとソフトウェアの両方を活用するDTC自体を使用して動作します。

CoreOSによると、TectronicとDTSは、ブートプロセスのコンテナを

TDCはSecure Bootの原則をクラスタのコンテナ実行環境に拡張します。これは、TPM(Trusted Platform Module)と呼ばれるマザーボードコンポーネントに依存しており、業界のTCG(Trusted Computing Group)によってTPMは暗号化キーをハードウェアに直接組み込むように設計された特別な動作ルールを備えた暗号プロセッサです。

最後に、DTCはTectonic DTCクラスタに参加する前にTPMを使用してコンテナをテストします。これは、rktのApp Container Image(ACI)フォーマットに画像検証用の暗号署名が含まれているためです。このようにして、システム全体(オペレーティングシステム、コンテナ、およびそのアプリケーション)が潜在的なセキュリティ上の問題を完全にチェックされます。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

Kubernetes – セキュアブートされたマシンのみがクラスタに入ることができます。 SSL秘密鍵などのセキュアなマテリアルは、マシンが信頼できる状態にあると確認されたときにのみ配布されます。

DTCを用いた完全なテクトニクスは、

使い慣れていると思われる場合は、UEFI(Unified Extensible Firmware Interface)で使用されていたのと同じハードウェアとファームウェアであるためです。マイクロソフト独自のSecure Bootのおかげで、UEFIはLinuxやその他のデスクトップオペレーティングシステムの脅威となっていました。それでも、Linuxの専門家の中には、UEFIとSecure Bootが本当に安全なコンピューティングに向かう道であることが分かっていました。その間、Matthew Garrettは、Windows 8システムでLinuxを実行する方法を作り出しました。これは、MicrosoftがSecure Bootを有効にして起動したことによるものです。 Garrettが現在CoreOSのPrincipal Security Engineerであることは偶然ではありません。

暗号の信頼チェーンを提供するほかに、DTCのTectonicはCoreOSにロックされていません。このプログラムでは、お客様が独自の暗号鍵をサーバーのファームウェアに入れることができます。つまり、サーバーは、企業が明示的に認可したソフトウェアだけを実行することができ、それ以外は実行できません。 TectonicのDTSは、ベンダーのロックインなしで、顧客に高度なセキュリティ保証を提供します。

Garrett氏は、次のように述べています。「これらのテクノロジは、制限付きDRM(デジタル著作権管理)としばしば考えられています。しかし、当社の実装は、自由度や柔軟性を失うのではなく、サーバーファームウェアに組み込まれた顧客管理のキーを基盤に構築されているため、オペレーションチームは、システムが実行するソフトウェアを正確に特定して検証することができます。彼らはコントロールを諦めることなくシステムを信頼することができます。

rkt – オペレーティングシステムは、rktが安全に設定されていることを確認します。信頼できるキーで署名されたコンテナのみがクラスタ上で実行でき、コンテナ実行環境への信頼の連鎖が拡張されます。さらに、rktはTPMを使用して、クラスタ全体で実行されるコンテナの暗号で検証可能な、ハードウェアで保護された監査ログを作成します。

CoreOS Linux – 起動前にオペレーティングシステムが検証され、ハードウェアプロバイダやクラウドプロバイダなど、変更されていないことを確認します。変更すると、マシンは起動しません。

これは大きな問題です。 Dockerに関するすべての誇大宣伝のために、Distributed Trusted Computingを使用するTectonic Enterpriseは、CoreOSをビジネスのコンテナ・システムとして選択することができます

 ストーリー

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ファームウェア – 顧客のキーはファームウェアに組み込まれており、ユーザーが選択したソフトウェアを実行し、そのソフトウェアが配布しているソフトウェアであることを検証するようにユーザーに制御を提供します; TPM(Trusted Platform Module) – 起動したものすべて。

CoreOSはコンテナのセキュリティ監視ツールであるClairを導入している; GoogleはKubernetes 1.0をリリースする:コンテナ管理は決して同じではない; CoreOSはGoogleのKubernetesをエンタープライズに持ち込んでいる

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応