1.6. セキュリティー
Red Hat Quay は、コンテンツガバナンスとセキュリティーが 2 つの主要なフォーカスエリアである実際のエンタープライズユースケース向けに構築されます。
Red Hat Quay のコンテンツガバナンスとセキュリティーには、Clair を介した組み込みの脆弱性スキャンが含まれています。
1.6.1. TLS/SSL 設定
Red Hat Quay レジストリーの SSL/TLS は、設定ツール UI または設定バンドルで設定できます。データベース、イメージストレージ、および Redis への SSL/TLS 接続も、設定ツールを使用して指定できます。
データベース内および実行時の機密フィールドは、自動的に暗号化されます。ミラー操作中に、HTTPS を要求し、Red Hat Quay レジストリーの証明書を検証することもできます。
1.6.2. Clair
Clair は、静的コード分析を利用してイメージコンテンツを解析し、コンテンツに影響を与える脆弱性を報告するオープンソースアプリケーションです。Clair は Red Hat Quay にパッケージ化されており、スタンドアロンと Operator デプロイメントの両方で使用できます。エンタープライズ環境に合わせてコンポーネントを個別にスケーリングできる、非常にスケーラブルな設定で実行できます。
1.6.3. Red Hat Quay Operator のセキュリティー
Red Hat Quay Operator を使用して Red Hat Quay をデプロイすると、tls
コンポーネントはデフォルトで managed
対象に設定され、OpenShift Container Platform の認証局を使用して HTTPS エンドポイントの作成と TLS 証明書のローテーションが行われます。
tls
コンポーネントを unmanaged
に設定すると、パススルールートにカスタム証明書を提供できますが、証明書のローテーションはユーザーが行います。
1.6.4. 完全に分離されたビルド
Red Hat Quay は、ベアメタルビルダーと仮想ビルダーの両方を使用する Dockerfile の構築をサポートするようになりました。
ベアメタルワーカーノードを使用することにより、各ビルドは一時的な仮想マシンで実行し、ビルド実行中の分離とセキュリティーが確保されます。これにより、不正なペイロードに対する最良の保護が提供されます。
コンテナー内で直接ビルドを実行すると、仮想マシンを使用する場合と同じように分離されませんが、それでも十分な保護が提供されます。
1.6.5. ロールベースのアクセス制御
Red Hat Quay は、ユーザーおよび自動化ツールによる読み取り、書き込み、および管理アクセスに対するきめ細かい権限により、組織およびチームごとにレジストリーのコンテンツを完全に分離します。