Everything LTS – Canonicalの12年間サポートのDistroless Dockerイメージ

by Canonical on 5 September 2024

「Everything LTS」 – Canonicalは、お客様の仕様に合わせたdistroless Dockerイメージを構築します。このイメージには、Ubuntuパッケージに含まれていないアップストリームコンポーネントが含まれ、重要なCVE（Common Vulnerabilities and Exposures、一般的な脆弱性と露出）は24時間以内に修正され、RHEL、Ubuntu、VMware、またはパブリッククラウドのK8sで12年以上にわたりサポートされます。

Canonicalは本日、自社のLTSサービスをUbuntuの「deb」パッケージ以外にも拡大し、新しいdistroless Docketイメージの設計/構築サービスを開始しました。このサービスには、あらゆるオープンソースのアプリや依存ファイルについて、Ubuntuパッケージの一部であるかどうかにかかわらず、12年のセキュリティメンテナンスが付属します。

CanonicalのCEO（最高経営責任者）であるMark Shuttleworthは、次のように述べています。「Everything LTSとは、Ubuntuパッケージにdebとして含まれていないオープンソースも含めて、オープンソースの依存性ツリーの全体にわたってCVEメンテナンスを行うということです。Canonicalは、お客様の仕様に合わせて、distrolessまたはUbuntuをベースとするDockerイメージを提供し、RHEL、VMware、Ubuntu、または主要なパブリッククラウドのK8sでサポートします。企業やISVのお客様は、Canonicalのサービスによって、どれだけ大規模または複雑であろうと、あらゆるオープンソースのスタックを、望む場所に展開して、規制に合わせたメンテナンス要件を満たすことができます。」

Canonicalの、「Everything LTS」を提供するという新たな方針により、Ubuntu Proで数千もの新しいオープンソースのアップストリームコンポーネントが使用可能になります。これには、機械学習、トレーニング、推論に使用される最新のAI/ML依存関係やツールも含まれ、「deb」パッケージとしてではなく、Ubuntuとともにソースとして保守されます。Canonicalは、これらのオープンソースコンポーネントのCVEセキュリティメンテナンスに注力しているため、FIPS、FedRAMP、EU Cyber Resilience Act（CRA）、FCC U.S. Cyber Trust Mark、DISA-STIGなどの規制のベースラインへの準拠が促進されます。

お客様はCanonicalと協力して、オープンソースアプリケーションのDockerイメージ、または自社独自のアプリをホストするためのすべてのオープンソース依存関係を含むベースイメージを設計します。これらはdistolessコンテナイメージによって強化され、攻撃対象領域が最小になるとともに、CVEメンテナンスが12年以上にわたって行われます。Dockerイメージは、オープンコンテナイニシアチブ（OCI）の標準コンテナイメージ形式で、UbuntuだけでなくRed Hat Enterprise Linux（RHEL）、VMware Kubernetes、パブリッククラウドK8sでもネイティブで実行されます。Canonicalは、これらのカスタムで構築されたイメージを、すべてのプラットフォームでサポートします。

Ubuntu Proサブスクリプションには、無制限の「Everything LTS」コンテナで実行する権利が含まれています。VMware、RHEL、パブリッククラウドのホストが、Ubuntu Proのホストと同じ価格でサポートされています。

Distrolessコンテナは最小限でセキュア

業界での調査結果では、コードベースの84%には最低でも1つのオープンソース脆弱性があり、それらの脆弱性のうち48%は高リスクなことが示されています。

distrolessコンテナの設計パラダイムでは、単一のアプリケーションを実行するため明確に必要なファイルのみを含むコンテナが記述されます。これは、コンテナをより小さく、脆弱性が発見されても悪用が困難にすることを目標としています。コンテナの内容が最小限なら、攻撃者が利用できるような余分なユーティリティや追加コンテンツが存在しないためです。

distrolessコンテナは従来ゼロから作られるもので、開発者が多くのコンポーネント、言語、ランタイムを持つ高度なアプリケーションを開発するときは、設計やデバッグが困難です。この場合、Ubuntuのようなプラットフォームを使用するほうがはるかに作業が簡単になります。

Chiselled Ubuntuコンテナは、Ubuntu上でChiselを使用し、アプリケーションのため絶対に必要なファイルのみを含むように構築されたdistrolessコンテナです。ディストリビューションの余分なメタデータとツールは除外され、アプリケーションの厳格な依存関係のみが残されます。小さく効率的なコンテナにより、攻撃対象領域が大きく縮小され、業界最先端の水準がさらに進歩します。

開発者は、クラウド開発者にとって最も一般的なLinux環境である、完全で使い慣れたUbuntuツールチェーンを使用し、Chiselでコンテナを構築してdistrolessの本番アーティファクトを完成させます。このようなコンテナは、Chiselなしで同じコンテナを構築できるため、開発者は使い慣れたツールを使用して、テスト環境でアプリケーションの動作を分析でき、デバッグが非常に簡単になるという副次的な利点もあります。Chiselにより、ディストリビューションをベースとするエンジニアリングワークフローと、distrolessの実運用環境とでシームレスな相互運用が可能になります。

コンテナの設計および構築サービスの一環として、Canonicalがアプリの依存関係ツリーを分析し、Ubuntu Proでカバーされていないオープンソースコンポーネントを識別して、CVEメンテナンスの対象に組み入れ、コンテナイメージを作成して、お客様がChiselやdistrolessと組み合わせられるようにします。コンテナイメージが作成されると、パイプライン自動化により定期的な更新が行われるので、関連するパッチが常に組み込まれるようになり、致命的または高い脆弱性の数が減少します。

Chiselを使用したエンタープライズ.NETアプリ向けのランタイム

MicrosoftとCanonicalは、.NETコミュニティ向けに、Chiselを使用したコンテナを作成しました。Chiselにより、公式の.NETコンテナは100MBもサイズが減少します。自己充足の.NETアプリケーションなら、Chiselを適用したランタイムのベースイメージは、圧縮状態でわずか6MBです。このようにフットプリントが小さいため、ネットワーク上でも、ストレージから実行についてもキャッシュが高速に行われ、メモリのオーバーヘッドも減少します。

Microsoftの.NETプロダクトマネージャーを務めるRichard Lander氏は次のように述べています。「CanonicalとMicrosoftは、ベンダーとして共通のお客様から信頼を得ています。両社が共同で構築したものの公開に対して、反応は非常に好意的です。お客様は、このように設計のあらゆる部分にお客様のワークフローが組み込まれ、使いやすく、中核からセキュリティが盛り込まれているようなコラボレーションが増えることを望んでいます。両社の協力により優れた製品が生み出され、ただちに本番環境に採用されました。」

サイズと攻撃対象領域を減らすことは、両社の協力によるセキュアなコンテナ戦略の一部にすぎません。パートナーとして両社が作り上げたゼロ距離のサプライチェーンにより、Chiselを使用した.NETベースイメージで使用されるすべてのアセットの出所が、ソースから本番アーティファクトまで信頼できることを保証します。

RHEL、VMware、Ubuntu、パブリッククラウドのK8sでのサポート

Ubuntuは最も広く使用されているクラウドLinuxで、Ubuntu Proはすでに世界で最も包括的なセキュリティメンテナンスサービスとして、36,700を超える「deb」パッケージをカバーしており、他のいかなるエンタープライズLinuxよりもオープンソースです。しかし、エンタープライズのポリシーの関係で、特定のホストオペレーティングシステムしか使用できないチームも存在します。

OCIフォーマットは一般にDockerイメージと呼ばれ、Linuxプラットフォームで隔離されたアプリケーションを実行するための標準的な方法です。エンタープライズSREは既存のポリシーと手順を維持し、CanonicalによってメンテナンスされるDockerイメージを、インフラストラクチャのネイティブのパッケージとして実行できます。Everything LTSでは、CanonicalがUbuntu以外でもお客様と関わりを持ち、すべてのオープンソーススタックをOCIフォーマットでメンテナンスし、RHEL、Ubuntu、VMwareのホストと、パブリッククラウドのK8sでの使用を認定します。

Red Hat Enterprise Linuxは、コンテナがOpenShiftか、他の認定済みKubernetesディストリビューションで実行されるときにサポートされます。Ubuntuでは、Canonicalの任意のKubernetes製品、すなわちMicroK8sまたはCharmed Kubernetes上のコンテナがサポートされます。VMwareは、Tanzu Kubernetes GridかvSphere with Kubernetes、またはvSphereクラスター上のUbuntu VMでサポートされます。パブリッククラウドでは、Azure、AWS、Google、IBM、OracleパブリッククラウドのKubernetes製品のコンテナがサポートされます。

Canonicalでパブリッククラウドアライアンスの責任者を勤めているAlex Gallagherは次のように述べています。「FedRAMPやHIPAAとの準拠を保証するのは、CISOによって困難な課題です。これは、大規模で準拠が保証されたコンテナ資産をハイブリッドまたはパブリッククラウドで実行する、最も簡単で費用対効果が高い方法です。当社は、Kubernetesのセキュリティとパフォーマンスを最適化するとともに、Ubuntu Proを統合して、LTSコンテナへの簡単でスムーズなアクセスを可能にするため、認定済みのパブリッククラウドと密接に協力しています。」

AWS、Azure、Googleは、自社のIAASサービスでUbuntu Proをネイティブに提供しています。この新しいサービスは、パブリッククラウドUbuntu Proのサブスクリプションに、追加料金なしで含まれることになります。

最新のAI/MLツールチェーン、依存関係、スタック

同社にはすでにパートナーとお客様が全世界に存在し、CanonicalによってUbuntuとともにメンテナンスされている、数千ものアップストリームのオープンソース依存関係を使用して、AIワークロードやソリューション用のコンテナを構築しています。エンタープライズおよびISVのパートナーは、自社でのAIの必要を満たすため、このコレクションにアクセスできるようになりました。

「Everything LTS」によってエンタープライズやISVの製品の計画や可能性がどのように変化するかの例として、Canonicalは自社が現在2,000を超える、広く使用されているAI/MLライブラリとツールをメンテナンスしていることを公表しました。これには、PyTorch、Tensorflow、Rapids、Triton、CASK、そのほか数多くの、機械学習や生成AIソリューションに不可欠なアップストリーム要素が含まれています。

このポートフォリオには、MLOps、データ管理、ストリーミングアプリケーション用のLTSコンテナが含まれており、将来のメンテナンスの負担を気にすることなく、エンタープライズAIの生産イニシアチブを迅速化できます。

コンテナおよび任意のオープンソース依存ファイルのLTS

この新しいサービスは、厳格なレポートおよび修復の要件を満たすコンテナイメージのメンテナンスのため、信頼できるパートナーを探している組織に理想的です。

Canonicalは、2006年に開始した最初のUbuntu LTSで、LTS（Long Term Support、長期サポート）という用語を新たに生み出しました。同社はセキュリティメンテナンスの品質と速さに定評があり、ほかのエンタープライズ製品よりも多くのCVEに対する修正を迅速に、そして少ない問題点で提供してきました。重大なCVEは平均24時間未満で修正されるので、Ubuntu ProはグローバルなSaaSブランドとAI製品や、主要なISVからのエンタープライズソリューションのセキュリティを支えることができます。

Canonicalのコンテナ構築サービスには、最長12年の長期サポートのコミットメントが含まれ、カスタムDockerイメージのセキュリティが10年以上にわたってメンテナンスされます。Canonicalは、このLTSへのコミットメントと、アップストリームコミュニティとの関係を持ち合わせているため、信頼できるパートナーによる保証と、最新で最高のオープンソースの両方について最高のものを利用することを望む組織にとって、理想的なパートナーになります。

準拠と将来への対応

組織は、厳格な脆弱性管理、監査、レポートの要件を満たすよう強く要求されています。CanonicalとUbuntu Proにより、会社やISVはEUのCRA（Cyber Resilience Act）のような今後の規制にも準拠できます。コンテナ構築サービスの一部として供給されるイメージも、この利点を継承しているため、組織は厳格なレポートや修復の要件を満たすという負担をCanonicalに負わせることができます。

Canonicalによってサポートされるコンテナは、高度に規制された環境でも信頼できます。たとえば、強化されたUbuntuコンテナは、米国国防省のPlatform Oneにより管理されるセキュアなコンテナリポジトリであるIron Bank上で、米国の政府機関やソフトウェアベンダーによる使用が事前承認済みです。

Ubuntu Proを使用すると、FIPS 140-2認定済みの暗号化パッケージにアクセスできるため、FedRAMP、HIPAA、PCI-DSS、そのほかの規制体系への準拠が促進されます。Canonicalからセキュアなコンテナを入手する組織は、これらの認定済みコンポーネントの利点を活用できます。