コンテナのシークレットを安全に管理するHashiCorp VaultとAqua Security

コンテナ上のアプリケーションで使用するシークレット^※をどのように取り扱うかは、コンテナを安全に運用する上での大きな課題です。
今回はその解決策として、Aqua Security社のRani Osnat氏がHashiCorp社のブログに投稿した記事を日本語訳してお届けします。

コンテナセキュリティを専門とするAqua Security社は、HashiCorp社のシークレット管理製品「Vault」を採用しており、

• なぜコンテナでシークレット管理が問題となるのか
• なぜ「HashiCorp Vault」がよいのか

について、詳しく解説しています。

※ シークレット：「ユーザ認証情報（ID/Password）」「API Token」「クラウドのアクセスキー」など、ITサービスを利用するために必要な情報であり、外部に漏えいした場合に多大な損害を被る可能性の高い情報の総称

このガイドは、Aqua Securityマーケティング部門のヴァイスプレジデントであるRani Osnat氏により投稿されました。AquaはHashiCorpの技術パートナーであり、開発から本番までのあらゆるプラットフォーム上に構築する安全なコンテナベースのアプリケーションを専門としています。

Aqua Securityは、2015年に設立され、Dockerのような仮想コンテナで稼働するアプリケーションの保護に焦点をあてている会社です。私たちは、コンテナの開発から本番におけるすべてのライフサイクルで、コンテナのワークロードを保護するための自動化したセキュリティコントロールを提供します。私たちは、すでにコンテナを導入している、またはコンテナに移行途中の大企業と協業しており、彼らのセキュリティと規制要件に適合した、アプリケーション保護と監視を行っています。

私たちは、顧客のコンテナのシークレット管理に対するニーズに基づき、HashiCorp Vaultの採用を決めました。なぜなら、Vaultは、企業のシークレット管理をリードする製品であり、また多くの大企業で使用され、導入が容易だったからです。

HashiCorp Vaultを使用したコンテナのシークレット管理

コンテナの採用は、アプリケーションのセキュリティに重要な問題を引き起すことがあります。これはコンテナが他の技術に比べてセキュリティ面で劣っているということではありません。コンテナを開発し実行することは、既存のセキュリティの管理方法を大幅に変える必要があるということです。その原因に、短期間の開発サイクルや共有カーネルのアーキテクチャ、オーケストレーションツールの使用などが挙げられます。既存のセキュリティソリューションでは、コンテナのワークロードに必要とされる、可視性やコントロールを提供することができないからです。

具体例

コンテナ環境のシークレット管理は、コンテナベースのアプリケーションを本番環境で稼働させる企業にとって重要な課題です。コンテナは共有カーネル上で稼働する一方で、シークレットへのアクセスも要求します。そのため、シークレットをコンテナに安全に渡すこと、つまりホスト上ではなくコンテナ内でのみシークレットにアクセスできること、およびシークレットのライフサイクル操作（更新、変更、廃止）をダウンタイムなく行うことが必要となります。

加えて、多くの組織ではHashiCorp Vaultのようなシークレット集中管理製品をすでに導入しています。そのため、コンテナのシークレット管理を目的とするデータベースを個別に構築すると、シークレットの不要な複製を作り出し、特権ユーザに対するシークレットの漏えいリスクが高まります。また、既存のシステム資産の活用もできません。

HashiCorp VaultとAqua

Aquaでは、シークレットをコンテナに取り込む最後の処理を行い、同時にシークレットの保管場所やアクセス管理、ライフサイクル管理といった既存のソリューションも活用できるシークレット管理ソリューションを実現したいと考えています。そして、HashiCorp Vaultは多くの企業で採用され、導入が容易であることから、Aquaのソリューションに完璧にフィットするのです。

AquaとVaultを組み合わせることで、安全かつ効果的にコンテナベースのアプリケーションのシークレットを管理し、利用することができます。シークレットはVaultで管理します。そして、AquaはVaultが管理するシークレットをコンテナやコンテナグループに割り当て、使用状況を監視し、稼働中のコンテナを停止・再起動することなくシークレットの更新・変更・廃止を行います。

このプロセスを経ることで、シークレットは暗号化したまま、指定のコンテナ以外はシークレットにアクセスできなくなります。また、コンテナに紐付いたシークレットはディスクに保管せずに、コンテナを停止するたびに削除します。そして、Aquaの管理コンソール画面からもシークレットの中身は見ることができず、シークレットの名称やラベルだけが表示されます。

ミニチュアケーススタディ

ある保険会社は、Dockerコンテナを使用してアプリケーションの開発とサービス提供を開始しました。保険会社が直面した課題の一つは、コンテナのシークレットを管理すること、特に情報漏えいのリスクを増やさずコンテナにキーや資格情報へのアクセスをどうやって付与するかでした。保険会社の要求事項は下記の通りです。

• コンテナのシークレットを管理するためにHashiCorp Vaultを導入すること
• シークレットデータベースの不要な複製を避けること
• シークレットはホストから見ることができず、またホスト上で保管しないこと
• コンプライアンスの目的から、可視性と監査証跡を強化すること

このケースでは、大手保険会社のため、多くの要求事項に応えなくてはなりませんでした。安全な方法でシークレットを管理することは最も重要であり、シークレットがいつ、どこで使用されるかを可視化することはコンプライアンスを守る上でもきわめて有効だからです。

現在この保険会社は、厳格なシークレット管理の手法をコンテナのデプロイに拡大しています。その結果、同社はセキュリティやコンプライアンスの要件に妥協することなく、アジャイルな開発やリリース、アプリケーションのスケーリングといったコンテナならではのメリットを享受することができています。

HashiCorp Vaultはインフラストラクチャーおよびアプリケーションを安全にする製品です。Vaultはシークレットの安全な保管や管理のための一貫したワークフロー、データの暗号化機能、そして細やかな特権アクセスの管理を提供します。興味がある方は、HashiCorp社のサイト（英語）をご覧ください。

7月9日、日本国内でAqua Container Securitry Platformを取り扱うクリエーションライン株式会社との共催で無料オンラインセミナーを開催します。ぜひご参加ください。