1.6. セキュリティー

Red Hat Quay レジストリーの SSL/TLS は、設定ツール UI または設定バンドルで設定できます。データベース、イメージストレージ、および Redis への SSL/TSL 接続も、設定ツールを使用して指定できます。

データベース内および実行時の機密フィールドは、自動的に暗号化されます。ミラー操作中に、HTTPS を要求し、Red Hat Quay レジストリーの証明書を検証することもできます。

Clair は、静的コード分析を利用してイメージコンテンツを解析し、コンテンツに影響を与える脆弱性を報告するオープンソースアプリケーションです。Clair は Red Hat Quay にパッケージ化されており、スタンドアロンと Operator デプロイメントの両方で使用できます。エンタープライズ環境に合わせてコンポーネントを個別にスケーリングできる、非常にスケーラブルな設定で実行できます。

Red Hat Quay Operator を使用して Red Hat Quay をデプロイすると、tls コンポーネントはデフォルトで managed 対象に設定され、OpenShift Container Platform の認証局を使用して HTTPS エンドポイントの作成と TLS 証明書のローテーションが行われます。

tls コンポーネントを unmanaged に設定すると、パススルールートにカスタム証明書を提供できますが、証明書のローテーションはユーザーが行います。

Red Hat Quay は、ベアメタルビルダーと仮想ビルダーの両方を使用する Dockerfile の構築をサポートするようになりました。

ベアメタルワーカーノードを使用することにより、各ビルドは一時的な仮想マシンで実行し、ビルド実行中の分離とセキュリティーが確保されます。これにより、不正なペイロードに対する最良の保護が提供されます。

コンテナー内で直接ビルドを実行すると、仮想マシンを使用する場合と同じように分離されませんが、それでも十分な保護が提供されます。

Red Hat Quay は、ユーザーおよび自動化ツールによる読み取り、書き込み、および管理アクセスに対するきめ細かい権限により、組織およびチームごとにレジストリーのコンテンツを完全に分離します。