Aqua Security概要

Aqua Security概要クリエーションライン(株) 2019/04/25 マグルーダー健⼈ 1

2 アジェンダ 1. 会社紹介 2. Aqua Security 概要 3. Aqua
Security 機能紹介(デモ) 4. まとめ

3 クリエーションライン株式会社サブスクリプション製品販売・導⼊コンサル

4 Aqua Security Software Ltd.のご紹介 BACKED BY Microsoft Ventures |
Lightspeed | Shlomo Kramer | TLV Partners ¤ Boston ¤ San Francisco ¤ Sydney ¤ Tel Aviv STRATEGIC PARTNERSHIPS TEAM 80 passionate, experienced innovators coming from: • コンテナ時代のセキュリティ向上をビジョンに掲げ2015年設⽴ • 本社︓⽶国、イスラエル • Fortune 500社のうち60社を顧客に持つ

5 コンテナのライフサイクルとAqua Securityのセキュリティイメージコンテナのライフサイクル “シフトレフト” 開発チームへのコントロール移譲脆弱性のスキャン承認されたイメージのみ許可
デプロイメントのコントロールシークレット管理未知の脆弱性や攻撃からコンテナを守るコントロールの移譲 à インシデントの削減 à コンプライアンスの実現

6 シフトレフトとは︖ セキュリティに問題があるシステムの原因の⼤部分は設計と構築時の問題であり、また後期段階での対応はコストが⾮常に⾼くなる ⇒開発のより早い段階でセキュリティ対策を施すこと(シフトレフトの実践)が⼤切参考記事︓https://www.asteriskresearch.com/services/security-initiative-training/ 0 20 40 60
80 100 設計構築検証運⽤対応コスト原因の割合対応コスト100 原因の85% シフトレフト

7 Aqua Security の3つのアプローチ DevSecOps の⾃動化コンテナ全般への次世代のセキュリティ⼀度の導⼊で、あらゆるプラットフォームに対応
§ CI/CD パイプライン全体を守る § セキュリティの”シフトレフト”、問題は早い段階で発⾒、対処 § セキュリティの⾃動化でアプリのデリバリを早める § イミュータブル(不変)の徹底 =変更や追加は不可 § ホワイトリストによる制御、異常な挙動を検知 § マイクロサービスレベルのファイアウォールによるアクセス制御 § 状況の可視化とコンプライアンス対応 § プラットホーム、クラウド、OS に関わらずアプリを守る § ECS, Fargate,EKSに対応

8 DevSecOpsの⾃動化︓パイプラインのセキュリティ(課題) ハードコードされたシークレットマルウェア既知の脆弱性 OSS ライセンス
承認されていないベースイメージ Build Ship Run 課題 DevOpsの速度を損なうことなく、安全なソフトウェア供給チェーンを実現権限の悪⽤開発→本番の整合性 (イメージの保全) 脆弱性や、マルウェアが含まれているイメージ

9 DevSecOpsの⾃動化︓パイプラインのセキュリティ(ソリューション) ハードコードされたシークレットマルウェア既知の脆弱性 OSS ライセンス
承認されていないベースイメージ Build Ship Run 脆弱性・マルウェア・ OSS・シークレット・未承認イメージのスキャン、コンフィグのチェック新たなCVE(脆弱性) の定期的なスキャン、コンプライアンスチェックのカスタマイズ承認されていないイメージのブロック、イメージリスクポリシーの強制イメージの暗号化ハッシュを⽣成イメージの追跡で⼀貫性を保証 Aquaのソリューション ”シフトレフト” ⇒ セキュリティチェックの⾃動化とイメージの検知を開発初期段階で実施

10 コンテナ全般への次世代のセキュリティ(課題) 1. 不正なコンテナ(例:クリプトマイニング) 2. 不正コード注⼊ 3. 不適切な権限による内部の不正操作 4. 不法なデータ漏洩
5. 外部の攻撃者によるネットワーク資源取得 6. 未知の攻撃(ゼロデイ攻撃) Attacker Host 1 Authenticated User 1 2 3 4 5 6 課題⼤規模なデプロイ環境への侵⼊、攻撃を未然に防⽌ Host 2

11 コンテナ全般への次世代のセキュリティ(ソリューション) 1．承認されていないイメージをブロック 2．イメージの変更を防⽌(=イミュ―タブル) 3．必要最⼩限の権限利⽤のみ許可 4．安全なシークレット管理＋未承認の外部向け接続をブロック 5．コンテナファイアウォールで許可されない接続を阻⽌ 6．機械学習とホワイトリスト化により、コンテナのアクション(実⾏
環境、処理内容、ファイル、ボリューム、リソース等)を限定 Aquaのソリューション⼿動または機械学習したデータを⽤いて、必要最⼩限の権限利⽤とイミュータブル(不変)を徹底 1. 不正なコンテナ(例:クリプトマイニング) 2. 不正コード注⼊ 3. 不適切な権限による内部の不正操作 4. 不法なデータ漏洩 5. 外部の攻撃者によるネットワーク資源取得 6. 未知の攻撃(ゼロデイ攻撃) Aquaのソリューション課題

12 あらゆる環境でアプリを守る n LinuxとWindowsコンテナ n あらゆるオーケストレータ︓ Kubernetes、OpenShift、DC/OS、 Docker Swarm n
クラウドでもオンプレでも︓ AWS、Azure、GCP、IBM Cloud、VM環境 n CaaS︓ AWS Fargate、Azure ACI n マルチテナント管理アプリ #1 アプリ #2 Aquaのソリューション⼀度の導⼊であらゆるプラットフォームに対応、セキュリティはアプリと共にインフラを移動

13 Aqua Security 機能紹介ここからはデモをお⾒せ致します。

14 Aqua Security 機能紹介 1．Image Scan (イメージスキャン) 2．Image Assurance (イメージ保証)
3．Runtime Policy / Image Profile(ランタイムポリシー/イメージプロファイル) 4．Integration (統合) 5．Compliances (コンプライアンス対応)

15 デモ環境イメージ • Amazon EC2インスタンス×2を⽤意 • Dockerコンテナを使⽤ • AquaSecurity 関連コンポーネントはコンテナ上で稼働
Amazon EC2 Amazon EC2 Aqua Command Center Aqua Enforcer Container Aqua Gateway Container JBoss nginx Jenkins MySQL Server Node Aqua Enforcer Container

21 Aqua アーキテクチャ

22 Aqua Life Cycle CI/CD Image Scan Image Assurance Compliance
Secrets User Access Control Runtime Protection Threat Mitigation Container Firewall Build Ship Run Registry Image Scan Host Scanning

23 以上です。ご清聴ありがとうございました。

Aqua Security概要

Aqua Security概要

濱田孝治

More Decks by 濱田孝治

Other Decks in Technology

Featured

Transcript