Challenging_Secure_Introduction_With_SPIFFE.pdf

Cloud Native Days Tokyo 2019 Tomoya Usami <[email protected]> @hiyosi Challenging
Secure Introduction with SPIFFE

Tomoya Usami / @hiyosi ▶ ISPにてシステム運⽤基盤の開発、IDaaSサービスの⽴ち上げなどに関わった後、2016年9⽉にゼットラボ株式会社に⼊社。 ▶ 現在はインフラ基盤の研究開発を⾏っている。
▶ Zero Trust Networkや認証技術に興味がある

ゼットラボ株式会社 ▶ 2015年に設⽴されたヤフー株式会社100%⼦会社 ▶ インフラ基盤技術の調査・研究開発 ▶ https://zlab.co.jp/ ▶ https://qiita.com/organizations/zlab

アジェンダ 1. Can You Keep A Secret Secret? 2. Secure
Introduction 3. SPIFFE 4. Our Challenges 5. More Challenges

Workloadが使うシークレット Workloadは認証や暗号化など、⾊々な⽤途で秘密情報が必要 Workload Workload TLS Private Key, Client Secret, Password,
Encryption Key API Key,

シークレットの漏洩時のリスク Workload Workload Unauthorized Workload

Can You Keep A Secret Secret?

どうやってシークレットを渡すか Workload Secret Store

⼿動でシークレットを登録してCI/CD経由での受け渡しシークレットのデプロイ CI/CD Secret Store Workload Push Push Deploy Fetch

CI/CDがシークレットを取得してWorkloadに渡すシークレットのデプロイ CI/CD Secret Store Workload Push Fetch Deploy

CI/CDツールにシークレットを持たせてデプロイ時に配布シークレットのデプロイ CI/CD Secret Store Workload Push Push Deploy Fetch
２重管理秘密を保管ディスク経由

デプロイ時にCI/CDがシークレットを取得してWorkloadに渡すシークレットのデプロイ CI/CD Secret Store Workload Push Fetch Deploy 強い権限
ディスク経由

k8sの場合もSecretリソースの管理で同様の課題がありそうシークレットのデプロイ CI/CD Secret Store Push Deploy Deployment Secret Push
Fetch

リスクを軽減するには単⼀の情報源 (SSOT) 最⼩権限の原則 (POLA)

Workloadは必要なシークレットを⾃分で取得するのが良さそうシークレットのデプロイ Workload Fetch

Workloadは必要なシークレットを⾃分で取得するのが良さそうシークレットのデプロイ Workload Fetch 安全に取得するには？必要なシークレットのみ許可したい

セキュリティリスクの軽減のために単⼀の情報源 (SSOT) 最⼩権限の原則 (POLA) 適切な単位で主体を識別認証・認可

Workload単位で認証・認可され、必要なシークレットにみアクセスできるシークレットの取得と認証・認可 Workload 認可認証シークレットの取得

シークレットの取得と認証・認可 Workload 認証シークレットの取得認可結局は最初のシークレットが必要になってしまうが…

Secure Introduction

Generally, If you can protect the ﬁrst secret, you can
protect any secret. https://bit.ly/2YlUyLe

クラウドサービスの場合、IaaSやIAM、KMSと連携して実現できる Secure Introduction IAM KMS Workload Fetch Check Fetch Cloud
Controller Inject

Secure Introduction オンプレミスの場合は？ IAMやKMSが存在しない環境ではどうしたらいいか？ IAM KMS Workload Fetch Check Fetch
Controller Inject

これらを使ってSecure Introductionの仕組みを実現 Secure Introduction

Secure Introduction Workload Fetch AuthN Fetch Validate AuthZ

IP Address ? Firewall ? ▶ 柔軟性の問題 + Workloadを配置する物理的な場所に縛られる ▶
動的なポリシー更新の問題 + 実装は難しく、短命なワークロードの環境ではさらに困難 ▶ Cloud Native環境ではIPアドレスはあまり意味をもたない + k8sのようなWorkloadが同⼀IPアドレス空間に配置されて、頻繁に作り直しされる環境ではIPアドレスでの制御は難しい

Kubernetesの場合はSA Tokenが使える？ ▶ 確かに同じようなアプローチで、PodがSA Tokenを使ってSecret Storeにログインし、シークレットを取得することができます。 ▶ (今の) SA
Tokenの問題 + 有効期限が設定されていない + Pod単位での認証が難しい ※これらは現在進められている新しい仕様のSA Tokenに置き換わることによって将来的に解決する⾒込みはあると思います。

SPIFFE

SPIFFEプロジェクトについて ▶ 公式サイト + https://spiffe.io/ + https://github.com/spiffe/spiffe ▶ Scytale 社が中⼼となって進めている
+ 元GoogleやAWS, Okta らのエンジニアが中⼼となってスタート + https://scytale.io/

SPIFFEプロジェクトについて ▶ 2018年に Sandbox プロジェクトとして CNCF の仲間⼊り ▶ すでに有名な企業で導⼊されている +
Uber + Pinterest + Square, + さらに多くの企業も興味を持っている(Cisco, VMware, Rancher, Twilio )

SPIFFE ▶ Secure Production Identity Framework For Everyone ▶ 統⼀された識別⼦と安全なサービス間のコミュニケーションのための標準仕様
Borg Borgmon LOAS(ALTS) GFE/ESF Kubernetes Prometheus SPIFFE Envoy

ジェイソン・ボーンモデル ▶ ボーンアイデンティティの冒頭のシーン + 主⼈公は何も知らない状態から始まる + 第三者から情報を与えられる + それを使って必要な情報を取得、⾏動を起こしていく
SPIFFEではジェイソン・ボーンモデルに従って、何も知らない状態のホストやアプリケーションに対して、⾏動を起こすための情報を与える。 https://www.amazon.co.jp/dp/B00007G0LR

SPIFFE 現在SPIFFE が標準化するものは３つ ▶ 統⼀された識別⼦ + SPIFFE ID ▶ SPIFFE
IDを含む検証可能なデータフォーマット + SVID (SPIFFE Veriﬁcation Identity Document) ▶ SVIDを発⾏・取得するためのプラットフォームに依存しないAPI + Workload API, Federation API

SPIFFE ID URI形式で対象を⼀意に識別できる⽂字列 spiﬀe://dev.acme.com/payments/web scheme=spiﬀe Trust Domain 対象を識別するためのパス

SVID ▶ ３つのコンポーネントから構成されるデータフォーマット + A SPIFFE ID + A Valid
Signature + An Optional Public Key ▶ 現在仕様が固まっているフォーマットは２つ + X.509 SVID + JWT SVID

X.509 SVID Data: Version: 3 (0x2) Serial Number: 4 (0x4)
Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=SPIFFE X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment, Key Agreement X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 Subject Alternative Name: URI:spiffe://example.org/host/workload

JWT SVID { "aud":"sidecar", "exp":1551170058, "iat":1551169758, "sub": "spiffe://prod.acme.com/payments/web" } Issuer
Web API JWT SVIDください JWT SVID JWT Auth iss  (issuer) sub (subject) aud (audience) payload

Workload API ▶ gRPCのストリーミングにより接続 ▶ エンドポイントで直接的な認証は実装しない + カーネルやオーケストレータに問い合わせて呼び出し元のプロセスを特定 ▶ SPIFFE
IDとSVIDおよびSVIDを検証するための証明書や鍵ペアを取得できる + X.509 SVID + SPIFFE ID, Certiﬁcate and Private-Key, Trust CA Bundles + JWT SVID + SPIFFE ID, JWT, Trust Public-Key Bundles

Workload API Workload API workload  (src) workload  (dst) JWT SVID
X.509 SVID 私は誰ですか？信頼できる送信元？ gRPC gRPC あなたのIDです検証⽤データ

Federation API Workload API workload  (src) workload  (dst) JWT SVID
X.509 SVID Workload API Federation API Federation API Federationによりお互いのTrust Bundleを交換

SPIFFEのある世界 SPIFFE X.509 SVID JWT SVID L4 L7 API API
SPIFFE SPIFFE Amazon EC2 API

Implementation

SVID Issuers

SVID Consumers Ghostunnel

Our Challenges

SPIFFEの実装としてSPIREを採⽤ Our Challenge

SPIREの構成 •SPIRE Server •SPIRE Agent(ノード毎) SPIRE Component SPIRE Agent SPIRE
Server SPIRE Agent SPIRE Agent Workload Workload Workload Workload Workload Workload

Node Attestation SPIRE Agent Valid Attestation Request Fetch Node Info
Attest SPIRE Server Provider

SPIRE on OpenStack ▶ 現時点でSPIREはOpenStackをサポートしておらず、OpenStack Instanceの Attestationができなかった OpenStack Plugin作りました！ https://github.com/zlabjp/spire-openstack-plugin

Node Attestation (OpenStack) Agent Attest Node Fetch Node information Fetch
Node data Signed Node Identiﬁer Sign Identiﬁer Node Attestor Node Attestor Server MetaData Service Nova API Attestation Request w/ Node information

Workload Attestation Workload Provider SPIRE Agent Fetch Identiﬁer Kernel /
Orchestrator SPIRE Server Fetch Workload data Attest Attested Node

Workload Attestation(e.g., K8S) Client Agent Fetch workload identiﬁer Fetch workload
information Attest workload   (compare entry) Signed workload Identiﬁer Workload Attestor Server kubelet sync entries related to Node Attested Instance Kernel

Building Trust Chain Provider VM OS Workload SPIRE Agent SPIRE
Server Attest Attest

Authenticate with First Secret(SVID) SPIREから取得したWorkload Identiﬁer(SVID)を使って認証する Workload AuthN JWT Auth
TLS Cert Auth X.509 Cert or JWT

Authenticate with JWT SVID workload Authentication Request Verify JWT sync
public keys Verify   subject, audience claims Fetch Secrets Token /auth/jwt/login /secret/data/:path

Authenticate with JWT SVID workload Authentication Request Verify JWT sync
public keys Verify   subject, audience claims Fetch Secrets Token /auth/jwt/login /secret/data/:path JWK未サポート ※次バージョンでは解消されそう

Vault Conﬁguration (JWT Auth) 許可するSPIFFE ID

Authenticate with X.509 SVID workload Authentication Request Verify TLS Cert
sync CA cert Verify   SAN ﬁeld Fetch Secrets Token /auth/cert/login /secret/data/:path

Authenticate with X.509 SVID workload Authentication Request Verify TLS Cert
sync CA cert Verify   SAN ﬁeld Fetch Secrets Token /auth/cert/login /secret/data/:path 1個しかセット  できなさそう CNフィールド必須

Implementation Pattern

Implementation( Direct) Workload Fetch AuthN Fetch AuthZ SPIRE Agent 既成プロダクトへの導⼊は困難

Implementation( Sidecar) Workload Fetch AuthN Fetch AuthZ Sidecar Workload毎にSidecarの設定が必要 SPIRE
Agent

Implementation( Ambassadors) Proxy Fetch AuthN AuthZ Workload SPIRE Agent Workload
Fetch Workload単位での識別が難しい

More Challenges

よりセキュアにOpenStack の Node を Attestation できないか

OpenStack Metadata { "uuid": "d8e02d56-2648-49a3-bf97-6be8f1204f38", "availability_zone": "nova", "hostname": "test.novalocal", "launch_index":
0, "meta": { "priority": "low", "role": "webserver" }, "project_id": "f7ac731cc11f40efbc03a9f9e1d1d21f", "public_keys": “…”, "name": "test" }

OpenStack Metadata $ curl http://169.254.169.254/2009-04-04/meta-data/ ami-id local-hostname ami-launch-index local-ipv4 ami-manifest-path
placement/ block-device-mapping/ public-hostname hostname public-ipv4 instance-action public-keys/ instance-id ramdisk-id instance-type reservation-id kernel-id security-groups

OpenStack Metadataの課題 ▶ 提供されているメタデータはNova APIにアクセスできる権限があればだれでも参照可能なデータ。つまり、簡単になりすましが可能な状態なりすましを防ぐにはメタデータへの署名などが必要 ▶ AWSのInstance
Identity Documents ▶ GCPのInstance Identity Token ▶ AzureのMSI Token 主要なクラウドプロバイダは同等のデータを提供しているが、OpenStackにはない

Vendordata(Dynamic JSON)を使った拡張「OpenStack Instance Identity Documents 」検証可能なメタデータを提供するための仕様をまとめました！ Proposalドキュメントとして近⽇公開し、SPIFFEコミュニティとのオープンな議論で内容を詰めていきます。
▶ Nova VM Instanceのメタデータに署名を付与しJWT形式で提供 ▶ JWT検証⽤の公開鍵もJWK形式で提供

Vendordata(Dynamic JSON)を使った拡張

OpenStack IIDの例 { "iid": { "data": “eyJhbGciOiJFUzM4NCIsImtpZCI6IjgxOW…vQ_uXMNiTwhCuJkqnpKAui6XKiM0… CTQwkbA5ePfwO9MjzcMFzPL-VUMZo77VjXBu” }, "iid_keys":
{ "keys": [ { "use": "sig", "crv": "P-384", "kty": "EC", "alg": "ES384", "y": "izVeFkEF7HxFlhWL69wN46bSh_Fb-FhfeuouxgSqdjR39GczxhXvztq0AukORw48", "x": "nY6zWiORxfRX0aEGB9ykiycUCTgVfWC_6mEF5xQW1dGdlD7u2bjAUrzj3Yuga8BE", "kid": "e225f0db90671819000576ec37fd34f787edb303" } ] } }

Node Attestation (with IID) Node Agent Attestation Request w/ IID
Attest Instance Fetch verification keys Fetch instance data Signed Instance Identifier Sign Identifier MetaData Service Metadata Service Instance Identity Documents(IID) public keys verify signature Server

しかし、OpenStackには標準機能として署名付きのメタデータを提供してほしいです

まとめ

まとめ ▶ Workloadは何も持っていなくても⾃⾝のIdentityを⼿に⼊れることができる + SPIFFE/SPIRE ▶ 最初のシークレットを安全に配布することで、Workloadはそれを使ってシークレットストア等から必要なシークレットを安全に取得することができる + Secure
Introduction ▶ 現状のOpenStackでは厳密なNode Attestationは難しい + Vendordataを使って拡張

コミュニティの宣伝

▶ SPIFFE Meetup Tokyo 主催しています！ ▶ https://spiﬀe-jp.connpass.com/ ▶ 2019/5 に第⼀回を開催
+ Youtube にSPIFFE Meetup Tokyo チャンネルあります + 前回の動画も公開しています！ ▶ 第⼆回の開催を秋頃に予定していますのでぜひご参加ください！ SPIFFE Meetup Tokyoについて

会社の宣伝

We’re hiring ご興味ある⽅は、ゼットラボ社員に直接ご連絡ください

Thank you!

Challenging_Secure_Introduction_With_SPIFFE.pdf

Challenging_Secure_Introduction_With_SPIFFE.pdf

More Decks by Tomoya Usami

Featured

Transcript