Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenClarityを覗いてみる

kojake_300
January 24, 2025
0
69

 OpenClarityを覗いてみる

kojake_300

January 24, 2025
Tweet

More Decks by kojake_300

See All by kojake_300
【SRE-NEXT 2024】内製化を見据えた効果的なSRE支援のアプローチ / SRE support approach
kojake_300
2
2.3k
eBPFで計装はノーコードの時代へ Grafana Beylaの出来るコト出来ないコト
kojake_300
0
830
オシャレな図を書くために意識していること
kojake_300
0
62
Skaffoldを用いたGKEアプリケーションの CD(Continuous Development)
kojake_300
0
2k
Google Cloud Managed Service for Prometheusでprismaメトリクスを可視化してみた
kojake_300
0
67

Featured

See All Featured
Music & Morning Musume
bryan
46
6.3k
Into the Great Unknown - MozCon
thekraken
34
1.6k
Code Review Best Practice
trishagee
65
17k
We Have a Design System, Now What?
morganepeng
51
7.4k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.5k
Mobile First: as difficult as doing things right
swwweet
222
9.1k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
33
2.7k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
GraphQLとの向き合い方2022年版
quramy
44
13k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
980
Git: the NoSQL Database
bkeepers
PRO
427
64k
How to Ace a Technical Interview
jacobian
276
23k

Transcript

  1. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityを覗いてみる Copyright ©

    3-shake, Inc. All Rights Reserved. 2025/1/24 SRE Tech Talk #11 1

  2. Copyright © 3-shake, Inc. All Rights Reserved. ❏ 某 SIer

    で業務系アプリケーションの保守運用や Devops 推進、 金融機関向けのクラウドアプリケーションの保守運用を経験したの ちスリーシェイクにジョイン ❏ 趣味はサウナ、旅行、サッカー観戦(町田ゼルビア推し) ❏ 注文住宅で家を建てるため専ら各所の土地散策で土日が潰れる ❏ 最近Google Cloud資格全冠取得しました! 自己紹介 kojake_300 株式会社スリーシェイク Sreake 事業部 2

  3. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityはどんなセキュリティツール? 01 3

  4. Copyright © 3-shake, Inc. All Rights Reserved. ソフトウェアサプライチェーンにおけるセキュリティ 4 コーディング

    ビルド パッケージング デプロイ 実行 * 静的解析 * 動的解析 * 脆弱性スキャン * クレデンシャル 情報のスキャン * イメージ署名 * 脆弱性スキャン 依存関係 * イメージ署名 * ランタイムセ キュリティ * ランタイムス キャン ソフトウェアを安全に届けるための最新動向 2022

  5. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityがカバーする領域 5 コーディング

    パッケージング デプロイ * クレデンシャル 情報のスキャン * イメージ署名 * 脆弱性スキャン * イメージ署名 * 静的解析 * 動的解析 * 脆弱性スキャン * ランタイムセ キュリティ * ランタイムス キャン ビルド 依存関係 実行 特にココ!

  6. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityとは 6 •

    エージェントレスで様々なセキュリティ脅威を検知するオープンソースツール。 • 元々は OpenClarity プロジェクトとして KubeClarity と VMClarity が開発・運用されていたが、 二つの機能を統合しつつ新しい機能を組み込んだ OpenClarityが 2024/10/12にv1.0.0としてリ リースされた。 • セキュリティ脅威の検知はTrivyなどのOSSを使用しており、OpenClarityはUIでのダッシュボード やレポーティングなど、セキュリティの統合プラットフォームのようなイメージ。 Project announcement: OpenClarity #882 https://openclarity.io/docs/features/#scanning

  7. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのランタイムスキャン 7 #

    機能 ツール群 2 脆弱性スキャン エクスプロイト取得 3 クレデンシャルスキャン 4 マルウェアスキャン 5 ミスコンフィグレーションスキャン 6 ルートキットスキャン 7 - Grype - Trivy 1 SBOM生成*** - Syft - Windows Registry* - Trivy - Cyclonedx-gomod - Go exploit db - Secrets - ClamAV - YARA - Lynis** - KICS*** - CIS Docker benchmark - Chkrootkit** * : Windowsのみ ** : Linux and MacOSのみ *** : CLIのみ スキャン時に1つ以上のOSSツール を使用します。 出力する際は1つにマージするた め、より漏れのないスキャン結果 を取得することが可能です。

  8. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのアーキテクチャ 8 https://openclarity.io/docs/usage/openclarity_stack/

  9. Copyright © 3-shake, Inc. All Rights Reserved. その他の機能 9 •

    AWS / Google Cloudといったクラウドプロバイダーで使用しているVMをスキャン可能 • プラグイン機能があり、指定したツールを追加してランタイムスキャンが可能* • AWSに限り、コスト見積もりが可能* * : CLIのみ

  10. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityでk8sのランタイムスキャンを実施 してみよう 02

    10

  11. Copyright © 3-shake, Inc. All Rights Reserved. セットアップ 11 公式ドキュメントの通り

    k8s クラスタにインストールする。 https://openclarity.io/docs/getting-started/deploy-kubernetes/#deployment-steps providerはkubernetesを設定します。これによりクラスタ内で動作して いるコンテナのディスカバリとスキャンが可能になります。

  12. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 12 New

    scan configurationをクリック。

  13. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 13 スキャン名とスキャン対象を設定。

    スキャン対象はODATA $filterの構文で記載 します。

  14. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 14 SBOMとVulnerabilitiesをチェック。

    SBOMにチェックをしないとVulnerabilitiesによ る脆弱性スキャンがエラーになります。 また、SBOMにチェックを入れてもSBOMをダウ ンロードする機能はありません。

  15. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 15 実行時間はNowを選択。

  16. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 16 スキャンジョブを何台起動するかを設定。今回はデフォルトの2。

  17. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 17 設定が完了。

  18. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 18 しばらくするとスキャンジョブが起動する。

  19. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 19 スキャンが完了すると✅マークが表示される。

  20. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 20 スキャン結果を確認可能。

    アセットに紐づく脆弱性一覧を取得する機能 は現在ありません。 脆弱性一覧から関連する脆弱性に紐づくア セットを確認する必要があります。 https://github.com/openclarity/openclarity/issues/671

  21. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 21 スキャン結果を確認可能。

  22. Copyright © 3-shake, Inc. All Rights Reserved. ダッシュボード 22 ダッシュボードで脆弱性数の推移を確認可能。

  23. Copyright © 3-shake, Inc. All Rights Reserved. まとめ 03 23

  24. Copyright © 3-shake, Inc. All Rights Reserved. まとめ 24 •

    OpenClarityは複数のスキャンツールを使用し結果をマージして出力するため、より漏れなく情報 量の多いスキャン結果を出力できる。 • 足りない機能が多いものの、若いツールであるため今後の開発に期待。 今回は時間がなくざっくりとした説明 になりましたが、 機会があればよりDeep Diveした内容 で発表します

  25. Copyright © 3-shake, Inc. All Rights Reserved. 25 ご清聴ありがとうございました