Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Binary Authorizationと友達になろう / Let's be friends ...

iselegant
August 30, 2024

Binary Authorizationと友達になろう / Let's be friends with Binary Authorization

iselegant

August 30, 2024
Tweet

More Decks by iselegant

Other Decks in Technology

Transcript

  1. Ref. NIST Special Publication 800-190 Application Container Security Guide 邦訳版

    (IPA提供)より一部抜粋 https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000085279.pdf 「信頼できないイメージの使用」リスクの対策内容を理解しよう 組織は、信頼できるイメージとレジストリのセットを維持し、このセットからのイメージだけが環境内で の実行を許可されるようにすることで、信頼できないコンポーネントや悪意のあるコンポーネントがデプ ロイされるリスクを軽減することが望ましい。 これらのリスクを軽減するために、組織は以下のような多層的なアプローチをとることが望ましい。 • 環境内で、信頼できるイメージとレジストリを厳密に一元管理する機能 • NISTで認証済みの実装6を使用した暗号署名による各イメージの個別識別 • 環境内のすべてのホストが、これらの承認済みリストのイメージのみを実行することを確実にする強制 • イメージが信頼できるソースからのものであり、改ざんされていないことを確実とするために、イメージの 実行前にイメージの署名を検証 • 脆弱性や構成要件の変更に応じて、リポジトリ内のイメージがメンテナンスされ更新されていることを確実 とするための継続的なモニタリングとメンテナンス
  2. Ref. NIST Special Publication 800-190 Application Container Security Guide 邦訳版

    (IPA提供)より一部抜粋 https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000085279.pdf 「信頼できないイメージの使用」リスクの対策内容を理解しよう
  3. 組織は、信頼できるイメージとレジストリのセットを維持し、このセットからのイメージだけが環境内で の実行を許可されるようにすることで、信頼できないコンポーネントや悪意のあるコンポーネントがデプ ロイされるリスクを軽減することが望ましい。 これらのリスクを軽減するために、組織は以下のような多層的なアプローチをとることが望ましい。 • 環境内で、信頼できるイメージとレジストリを厳密に一元管理する機能 • NISTで認証済みの実装6を使用した暗号署名による各イメージの個別識別 • 環境内のすべてのホストが、これらの承認済みリストのイメージのみを実行することを確実にする強制

    • イメージが信頼できるソースからのものであり、改ざんされていないことを確実とするために、イメージの 実行前にイメージの署名を検証 • 脆弱性や構成要件の変更に応じて、リポジトリ内のイメージがメンテナンスされ更新されていることを確実 とするための継続的なモニタリングとメンテナンス Ref. NIST Special Publication 800-190 Application Container Security Guide 邦訳版 (IPA提供)より一部抜粋 https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000085279.pdf 「信頼できないイメージの使用」リスクの対策内容を理解しよう