Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

Masaya Aoyama (@amsy810)

December 15, 2022
Tweet

More Decks by Masaya Aoyama (@amsy810)

Other Decks in Programming

Transcript

  1. Masaya Aoyama
    CyberAgent
    KubeClarityͰ࢝ΊΔSBOM؅ཧ
    3-shake SRE Tech Talk 2022 ΫϦεϚε௚લձ
    amsy810 @amsy810

    View Slide

  2. - Co-chair
    ⻘⼭真也
    + CREATIONLINE - 技術アドバイザ
    + SAKURA Internet Research Center – 客員研究員
    + 3-shake 技術顧問
    + PLAID
    - Organizer
    - KaaS Product Owner - Publications
    Twitter: @amsy810

    View Slide

  3. ebpfとWASMに思いを馳せる2022 @TechFeed Conference 2022
    https://speakerdeck.com/masayaaoyama/techfeed-conference-2022-ebpf-wasm-amsy810

    View Slide

  4. APIClarity とは
    Shadow/Zonbie API の検知・OpenAPI specの再構成

    View Slide

  5. APIClarity - architecture
    HTTP Traffic を外部のバックエンドに
    転送する WASM Filter を利⽤ *2

    View Slide

  6. OpenClarity プロジェクト
    セキュリティや Observability のための OSS ツール群を開発するプロジェクト
    Cisco がリード(KubeCon + CNCon NA 2022 の Keynote でも紹介)

    View Slide

  7. KubeClarity

    View Slide

  8. KubeClarity とは︖
    SBOM(Software Bill Of Materials)の⽣成
    • Content Analyzer: Syft
    脆弱性スキャン
    • Vulnerability Scanner: Grype
    CSI Docker Benchmark のテスト
    • Banchmarker: Dockle

    View Slide

  9. KubeClarity のアーキテクチャ
    イメージ単位で Job を起動し、
    SBOMの⽣成と脆弱性スキャンを実施

    View Slide

  10. Syft と Grype による⾼速なスキャン
    Syft: SBOM を⽣成
    Grype: SBOM を利⽤した脆弱性スキャン
    Syft Grype
    SBOM
    脆弱性情報
    KubeClarity では PostgreSQL に蓄積
    脆弱性スキャンの⾼速化
    https://github.com/openclarity/kubeclarity/blob/7f3d166ad4feb0bda931
    38e6c4e4fe12b6c360a5/runtime_k8s_scanner/pkg/scanner/scanner.go#L77

    View Slide

  11. KubeClarity におけるデータ
    • Application: 実⾏されているPod(実際にはDeploymentなどの粒度)
    • Application Resource: コンテナイメージ
    • Package: 利⽤しているパッケージ(rpm や deb などの OS 系 / npm や gomod などの⾔語系)
    • Vulnerability: 脆弱性情報
    Application
    (Pod)
    Application Resource
    (Container Image)
    Package
    (rpm, npm, gomod, etc)
    Vulnerability (CVE)
    SBOM

    View Slide

  12. OpenClarity の Web UI

    View Slide

  13. OpenClarity の Web UI

    View Slide

  14. OpenClarity の Web UI

    View Slide

  15. OpenClarity の Web UI

    View Slide

  16. OpenClarity の Web UI

    View Slide

  17. OpenClarity の Web UI

    View Slide

  18. OpenClarity の Web UI

    View Slide

  19. OpenClarity の Web UI

    View Slide

  20. Demo
    • デプロイした microservice-demo に対する SBOM/脆弱性スキャン
    下記にて Web UI を公開しているので、興味のある⽅は触ってみてください
    https://bit.ly/amsy-kc
    (セッション終了後 30 分程度で削除予定)
    kubectl apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/microservices-demo/v0.5.0/release/kubernetes-manifests.yaml
    helm repo add kubeclarity https://openclarity.github.io/kubeclarity
    helm install --create-namespace kubeclarity kubeclarity/kubeclarity -n kubeclarity --set kubeclarity.service.type=LoadBalancer --version v2.9.0

    View Slide

  21. Thank you for your attention
    Twitter: @amsy810

    View Slide