クラウドネイティブ時代に必要なコンテナセキュリティの考え方と対応策

クラウドネイティブ時代に必要なコンテナセキュリティの考え⽅と対応策

スライドは後で⼊⼿することが出来ますので発表中の内容をメモする必要はありません。写真撮影をする場合はフラッシュ・シャッター⾳が出ないようにご配慮ください Attention

3 #cmdevio2019sec

4 ⾃⼰紹介濱⽥孝治（ハマコー） •2017年9⽉⼊社 •AWS事業本部コンサルティング部 •ECS、Fargate、EKS •hamako9999

5 ここ半年ほどの業務 • ECS（⾃社メディアサイトのマイクロサービス化） • ECS（⾃動⾞向けコネクテッドサービスのECS構築） • ECS（Docker運⽤店舗向けサービスのマルチテナント→ECS化）
• EKS（位置情報分析サービスのEKS化） • ECS（⾃社運⽤k8sからECSへの移⾏）

6 要はコンテナまみれ

7 みなさんコンテナワークロードを本番運⽤されていますか︖

8 コンテナを導⼊されようとしている⽅は︖

9 今⽇持ち帰っていただきたい事コンテナ運⽤におけるセキュリティの考え⽅と Aqua Container Security

10 AGENDA • コンテナとは • コンテナ利⽤時のセキュリティ考慮点 • Aqua Container Security
Platformとは︖ • Aqua Container Security デモ

Photo by Fancycrave on Unsplash コンテナとは 11

12 コンテナ型仮想化技術とは Server Server Host OS 仮想化ソフトウェア Guest OS Guest
OS App A App B App A App B ホストOS型仮想化 Host OS kernel Container A Container B コンテナ型仮想化ハードウェアを演算により再現しGuest OSを作るためオーバーヘッドが⼤きい仮想化ソフトウェアなしにOSのリソースを隔離し、仮想OSとする。これを、コンテナと呼ぶ。

13 コンテナ（Docker）の作り⽅ • Dockerfileを利⽤して、コンテナーの構成内容をまとめて記述する • シンプルなテキスト形式 • コマンドと引数を順番に並べて、docker image
build により、Dockerイメージが⽣成される docker image build Dockerfile Docker image

14 コンテナ（Docker）のすごいところインフラの構築からプロビジョニングからアプリケーションのインストールまで⼀つのテキストファイルで記述できる

15 Dockerfileのすごいところ EC2 コンテナインフラの構築 • CloudFormation • Terraform Dockerfile
プロビジョニング • EC2のUser Data • Ansible アプリケーションデプロイ • CodeDeploy

16 コンテナを使うメリットアプリケーション開発において必ずおさえておくべきは３つ

17 コンテナを使うメリット複数の環境でつかいやすい頻繁に変更しやすい増えたり減ったりさせやすい

18 コンテナを使うメリット複数の環境でつかいやすい頻繁に変更しやすい増えたり減ったりさせやすい DBは別にして、開発〜検証〜本番で同じイメージを使うどんどん機能追加をしていきたい負荷に応じて弾⼒的に数を変えたい

Photo by Fancycrave on Unsplash コンテナ利⽤時のセキュリティ考慮点 19

20 ここで改めて考えるコンテナの場合セキュリティの考慮点が従来のままでよいのか︖

21 セキュリティ上の考慮点 ①コンテナがカバーする対象範囲の⼤きさ ②ホストインスタンスが無いコンテナ実⾏環境の普及

22 セキュリティ上の考慮点 ①コンテナがカバーする対象範囲の⼤きさ

EC2 コンテナインフラの構築 • CloudFormation • Terraform Dockerfile プロビジョニング •
EC2のUser Data • Ansible アプリケーションデプロイ • CodeDeploy 23 Dockerfileのすごいところ（再掲）

24 ⼀体どのタイミングで何を保護するのか︖ docker image build Dockerfile Docker image docker container
run Docker Container End User 変更のたびに全てを⾼速に繰り返す

25 セキュリティ上の考慮点 ②ホストインスタンスが無いコンテナ実⾏環境の普及

26 AWSにおける代表的なコンテナ実⾏環境

27 AWS Fargateとは • サーバーを管理することなくコンテナを実⾏可能 • 仮想マシンのクラスターのプロビジョニングが不要 →コンソールからEC2が全く⾒えない

28 セキュリティ上の考慮点コンテナの特性を活かすと今までとは違うセキュリティの考え⽅が必要になってくる

具体策として⼀つご提案 29

クラウドネイティブ時代に必要なコンテナセキュリティの考え方と対応策

クラウドネイティブ時代に必要なコンテナセキュリティの考え方と対応策

濱田孝治

More Decks by 濱田孝治

Other Decks in Technology

Featured

Transcript

クラウドネイティブ時代に必要なコンテナセキュリティの考え⽅と対応策

スライドは後で⼊⼿することが出来ますので発表中の内容をメモする必要はありません。写真撮影をする場合はフラッシュ・シャッター⾳が出ないようにご配慮ください Attention

3 #cmdevio2019sec

4 ⾃⼰紹介濱⽥孝治（ハマコー） •2017年9⽉⼊社 •AWS事業本部コンサルティング部 •ECS、Fargate、EKS •hamako9999

5 ここ半年ほどの業務 • ECS（⾃社メディアサイトのマイクロサービス化） • ECS（⾃動⾞向けコネクテッドサービスのECS構築） • ECS（Docker運⽤店舗向けサービスのマルチテナント→ECS化）

6 要はコンテナまみれ

7 みなさんコンテナワークロードを本番運⽤されていますか︖

8 コンテナを導⼊されようとしている⽅は︖

9 今⽇持ち帰っていただきたい事コンテナ運⽤におけるセキュリティの考え⽅と Aqua Container Security

10 AGENDA • コンテナとは • コンテナ利⽤時のセキュリティ考慮点 • Aqua Container Security

Photo by Fancycrave on Unsplash コンテナとは 11

12 コンテナ型仮想化技術とは Server Server Host OS 仮想化ソフトウェア Guest OS Guest

13 コンテナ（Docker）の作り⽅ • Dockerfileを利⽤して、コンテナーの構成内容をまとめて記述する • シンプルなテキスト形式 • コマンドと引数を順番に並べて、docker image

14 コンテナ（Docker）のすごいところインフラの構築からプロビジョニングからアプリケーションのインストールまで⼀つのテキストファイルで記述できる

15 Dockerfileのすごいところ EC2 コンテナインフラの構築 • CloudFormation • Terraform Dockerfile

16 コンテナを使うメリットアプリケーション開発において必ずおさえておくべきは３つ

17 コンテナを使うメリット複数の環境でつかいやすい頻繁に変更しやすい増えたり減ったりさせやすい

Photo by Fancycrave on Unsplash コンテナ利⽤時のセキュリティ考慮点 19

20 ここで改めて考えるコンテナの場合セキュリティの考慮点が従来のままでよいのか︖

21 セキュリティ上の考慮点 ①コンテナがカバーする対象範囲の⼤きさ ②ホストインスタンスが無いコンテナ実⾏環境の普及

22 セキュリティ上の考慮点 ①コンテナがカバーする対象範囲の⼤きさ

EC2 コンテナインフラの構築 • CloudFormation • Terraform Dockerfile プロビジョニング •

24 ⼀体どのタイミングで何を保護するのか︖ docker image build Dockerfile Docker image docker container

25 セキュリティ上の考慮点 ②ホストインスタンスが無いコンテナ実⾏環境の普及

26 AWSにおける代表的なコンテナ実⾏環境

27 AWS Fargateとは • サーバーを管理することなくコンテナを実⾏可能 • 仮想マシンのクラスターのプロビジョニングが不要 →コンソールからEC2が全く⾒えない

28 セキュリティ上の考慮点コンテナの特性を活かすと今までとは違うセキュリティの考え⽅が必要になってくる

具体策として⼀つご提案 29