Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クラウドネイティブ時代に必要なコンテナセキュリティの考え方と対応策

濱田孝治
April 25, 2019
Technology
1
2.6k

 クラウドネイティブ時代に必要なコンテナセキュリティの考え方と対応策

2019年現在、AWSには、ECS、Fargate、EKSなどが東京リージョンでリリースされており、いつでも本番環境でコンテナを運用できる環境が整っています。
一方で、セキュリティ面に目を向けると、コンテナアプリケーションの対策手法はまだまだ確立されているとは言えません。アプリケーションの構築方法が従来とは異なるように、セキュリティ面でも、コンテナ独自の考え方が必要になります。とは言え、セキュリティを向上させたことで、コンテナの利点であるDevOpsスピードを損なってしまっては本末転倒です。
このセッションでは、クラウドネイティブなコンテナ環境ならではのセキュリティ対策の考え方を説明した後、DevOpsスピードを損なうことなくセキュリティ対策を実現するためのソリューション「Aqua Container Security Platform」を実際のデモを交えてご紹介いたします。

濱田孝治

April 25, 2019
Tweet

More Decks by 濱田孝治

See All by 濱田孝治
製造現場のデジタル化における課題とPLC Data to Cloudによる新しいアプローチ
hamadakoji
0
270
可視化プラットフォームGrafanaの基本と活用方法の全て
hamadakoji
3
1.1k
20分で完全に理解するGrafanaダッシュボード
hamadakoji
5
2.4k
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をまるっとお届け〜
hamadakoji
3
1.3k
re:Invent2023で体験したIoT面白ワークショップ〜お絵描き2Dロボットの構築〜
hamadakoji
0
720
今改めて見直してみるラズパイの真価
hamadakoji
1
610
40分1本勝負 VPoE ハマコーvs20人の悩めるエンジニアリングマネージャー
hamadakoji
0
64
AWSの次世代プロセッサ Graviton2(Arm64)をLambdaとFargateで使うために考えるべきこと
hamadakoji
3
1.9k
エンジニアリングマネージャーの理想と現実
hamadakoji
13
8.5k

Other Decks in Technology

See All in Technology
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
580
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
120
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
990
Why does continuous profiling matter to developers? #appdevelopercon
salaboy
0
190
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
第1回 国土交通省 データコンペ参加者向け勉強会③ - Snowflake x estie編 -
estie
0
130
いざ、BSC討伐の旅
nikinusu
2
780
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
380
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k

Featured

See All Featured
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
We Have a Design System, Now What?
morganepeng
50
7.2k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Designing the Hi-DPI Web
ddemaree
280
34k
A Tale of Four Properties
chriscoyier
156
23k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
120
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
What's in a price? How to price your products and services
michaelherold
243
12k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
Designing for humans not robots
tammielis
250
25k

Transcript

  1. クラウドネイティブ 時代に必要な コンテナセキュリティの 考え⽅と対応策

  2. スライドは後で⼊⼿することが出来ますので 発表中の内容をメモする必要はありません。 写真撮影をする場合は フラッシュ・シャッター⾳が出ないようにご配慮ください Attention

  3. 3 #cmdevio2019sec

  4. 4 ⾃⼰紹介 濱⽥孝治(ハマコー) •2017年9⽉⼊社 •AWS事業本部コンサルティング部 •ECS、Fargate、EKS •hamako9999

  5. 5 ここ半年ほどの業務 • ECS(⾃社メディアサイトのマイクロサービス化) • ECS(⾃動⾞向けコネクテッドサービスのECS構 築) • ECS(Docker運⽤店舗向けサービスのマルチテ ナント→ECS化)

    • EKS(位置情報分析サービスのEKS化) • ECS(⾃社運⽤k8sからECSへの移⾏)

  6. 6 要は コンテナまみれ

  7. 7 みなさんコンテナワークロードを 本番運⽤されていますか︖

  8. 8 コンテナを導⼊されようとしている⽅は︖

  9. 9 今⽇持ち帰っていただきたい事 コンテナ運⽤における セキュリティの考え⽅ と Aqua Container Security

  10. 10 AGENDA • コンテナとは • コンテナ利⽤時のセキュリティ考慮点 • Aqua Container Security

    Platformとは︖ • Aqua Container Security デモ

  11. Photo by Fancycrave on Unsplash コンテナとは 11

  12. 12 コンテナ型仮想化技術とは Server Server Host OS 仮想化ソフトウェア Guest OS Guest

    OS App A App B App A App B ホストOS型仮想化 Host OS kernel Container A Container B コンテナ型仮想化 ハードウェアを演算により再現しGuest OSを作るためオーバーヘッドが⼤きい 仮想化ソフトウェアなしにOSのリソース を隔離し、仮想OSとする。これを、コン テナと呼ぶ。

  13. 13 コンテナ(Docker)の作り⽅ • Dockerfileを利⽤して、コンテナーの構成内容をまと めて記述する • シンプルなテキスト形式 • コマンドと引数を順番に並べて、docker image

    build により、Dockerイメージが⽣成される docker image build Dockerfile Docker image

  14. 14 コンテナ(Docker)のすごいところ インフラの構築からプロビジョニングから アプリケーションのインストールまで ⼀つのテキストファイルで記述できる

  15. 15 Dockerfileのすごいところ EC2 コンテナ インフラの構築 • CloudFormation • Terraform Dockerfile

    プロビジョニング • EC2のUser Data • Ansible アプリケーション デプロイ • CodeDeploy

  16. 16 コンテナを使うメリット アプリケーション開発において 必ずおさえておくべきは 3つ

  17. 17 コンテナを使うメリット 複数の環境でつかいやすい 頻繁に変更しやすい 増えたり減ったりさせやすい

  18. 18 コンテナを使うメリット 複数の環境でつかいやすい 頻繁に変更しやすい 増えたり減ったりさせやすい DBは別にして、開発〜検証〜本番で同じイメージを使う どんどん機能追加をしていきたい 負荷に応じて弾⼒的に数を変えたい

  19. Photo by Fancycrave on Unsplash コンテナ利⽤時の セキュリティ考慮点 19

  20. 20 ここで改めて考える コンテナの場合 セキュリティの考慮点が 従来のままでよいのか︖

  21. 21 セキュリティ上の考慮点 ①コンテナがカバーする対象範囲の⼤きさ ②ホストインスタンスが無い コンテナ実⾏環境の普及

  22. 22 セキュリティ上の考慮点 ①コンテナがカバーする対象範囲の⼤きさ

  23. EC2 コンテナ インフラの構築 • CloudFormation • Terraform Dockerfile プロビジョニング •

    EC2のUser Data • Ansible アプリケーション デプロイ • CodeDeploy 23 Dockerfileのすごいところ(再掲)

  24. 24 ⼀体どのタイミングで何を保護するのか︖ docker image build Dockerfile Docker image docker container

    run Docker Container End User 変更のたびに全てを⾼速に繰り返す

  25. 25 セキュリティ上の考慮点 ②ホストインスタンスが無い コンテナ実⾏環境の普及

  26. 26 AWSにおける代表的なコンテナ実⾏環境

  27. 27 AWS Fargateとは • サーバーを管理することなくコンテナを実⾏可能 • 仮想マシンのクラスターのプロビジョニングが不要 →コンソールからEC2が全く⾒えない

  28. 28 セキュリティ上の考慮点 コンテナの特性を活かすと 今までとは違うセキュリティの考え⽅が 必要になってくる

  29. 具体策として⼀つ ご提案 29