10分で学ぶKubernetesコンテナセキュリティ/10min-k8s-container-sec

Transcript

1. 
   !NPDIJ[VLJ ෼ͰֶͿ
   ,VCFSOFUFTίϯςφηΩϡϦςΟ 'JOEZ
   -VODI
   -5
   Ϋϥ΢υηΩϡϦςΟΛ࠶ۛຯ͢ΔͨΊʹ
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   ʙ࣮ྫ͔ΒֶͿɺߟྀ͢΂͖؍఺ͱͦͷରࡦࣄྫʙ

2. 
   XIPBNJ !NPDIJ[VLJ 🌕
   ,FJUB
   .PDIJ[VLJ
   ❤
   ,VCFSOFUFT
   🚨
   "
   GPY
   OPU
   B
   SBDDPPO
   EPH

3. 
   <એ఻>
   $MPVE
   /BUJWF
   %BZT
   8JOUFS
   
   ৐ͬऔΕ,VCFSOFUFTʂʂ
   dϦεΫ͔ΒֶͿ,VCFSOFUFTηΩϡϦςΟͷߟ͑ํd
   
   
   IUUQTTQFBLFSEFDLDPNNPDIJ[VLJLTSJTLBOETFDVSJUZDDFDEEBEGEFE

4. 
   <એ఻>
   ,VCFSOFUFT
   #MPH
   ,VCFSOFUFT
   #MPH
   4QPUMJHIU
   PO
   ,VCFSOFUFT
   6QTUSFBN
   5SBJOJOH
   JO
   +BQBO
   
   
   IUUQTLVCFSOFUFTJPCMPHLTVQTUSFBNUSBJOJOHKBQBOTQPUMJHIU

5. 
   ஫ҙࣄ߲ ຊൃද͸αΠόʔ߈ܸΛߠఆ͢Δ΋ͷͰ͸͋Γ·ͤΜ
   ܝࡌ಺༰͸ݸਓͷݟղͰ͋Γɺॴଐ͢Δاۀ΍૊৫ͷཱ৔ɺઓུɺҙݟΛ୅ද͢Δ΋ͷͰ͸͋Γ·ͤΜ
   هࡌ͞Ε͍ͯΔձ໊ࣾɺ঎඼໊ɺ·ͨ͸αʔϏε໊͸ɺ֤ࣾͷ঎ඪొ࿥·ͨ͸঎ඪͰ͢

6. 
   ίϯςφηΩϡϦςΟʁ ,VCFSOFUFT΍ίϯςφ͸Ϋϥ΢υωΠςΟϒٕज़ͷதͰ΋޿͘׆༻͞ΕΔٕज़ͱͳΓ·ͨ͠ɻ
   $/$'
   
   "//6"-
   4637&:
   
   
   IUUQTXXXDODGJPSFQPSUTDODGBOOVBMTVSWFZ

7. 
   ίϯςφηΩϡϦςΟʁ コンテナセキュリティやって。 ぶっちゃけ よくわからんけど いい感じにね！ は い っ !

8. 
   ίϯςφηΩϡϦςΟʁ ͿͬͪΌ͚΍Γͨ͘ͳ͍ むずそう。。。 え、やだ え、待って、 何やれば良いの？ コンテナセキュリティ is 何？

9. 
   ίϯςφηΩϡϦςΟʁ ಛʹ1SPEVDUJPO؀ڥͰ,VCFSOFUFTίϯςφΛར༻͢Δ࣌
   ηΩϡϦςΟͷݕ౼͸ආ͚ͯ௨Δ͜ͱͷͰ͖ͳ͍՝୊ͷͭ 🛡 🗡 Ͱ΋΍Βͳ͖Ό͍͚ͳ͍

10. 
    ίϯςφηΩϡϦςΟʁ
    $/$'
    
    "//6"-
    4637&:
    
    
    IUUQTXXXDODGJPSFQPSUTDODGBOOVBMTVSWFZ

11. 
    ίϯςφηΩϡϦςΟʁ
    $/$'
    
    "//6"-
    4637&:
    
    
    IUUQTXXXDODGJPSFQPSUTDODGBOOVBMTVSWFZ

12. 
    ͡Ό͋Ͳ͏޲͖߹͏͔ʁ XIZΛ஌Δ͜ͱ͸ॏཁ
    ɹ✅
    ໨తͷຊ࣭తͳཧղʹΑΔඞཁे෼ͳରࡦ
    ɹɹɹରࡦʹ͸ඞͣʮԿ͔ΒकΔ͔ʯͱ͍͏໨త͕͋Δ
    ɹɹɹɹ❌
    कΔ΂͖΋ͷΛͪΌΜͱकΕ͍ͯΔ͔෼͔Βͳ͍
    ɹɹɹ༷ʑͳରࡦ͕ଘࡏ͢Δ
    ɹɹɹɹ❌
    ա৒ͳରࡦʹΑΔίετͷ૿Ճ
    ɹ✅
    ͲͷΑ͏ʹϦεΫʹ޲͖߹͏΂͖͔ମܥతͳཧղ
    ɹɹɹϦεΫ͸ࠜຊతͳ࢓૊Έ͕มΘΒͳ͍ݶΓมԽ͠ͳ͍
    ɹɹɹɹ❌
    ৽͍͠ରࡦʹग़ձͬͨ࣌ʹରԠͰ͖ͳ͍
    

13. We have fallen many times before. That’s why we take

    great care not to fall again. ࢲͨͪ͸͜Ε·ͰʹԿ౓΋సΜͩ͜ͱ͕͋Δɻ͔ͩΒస͹ͳ͍Α͏ʹࡉ৺ͷ஫ҙΛ෷͏ͷͩɻ

14. 
    ,VCFSOFUFTίϯςφηΩϡϦςΟ ,VCFSOFUFTͰίϯςφΛѻ͏৔߹ͷηΩϡϦςΟ͸ɺ࣍ͷΑ͏ͳϨΠϠʹ෼͚ͯߟ͑Δ͜ͱ͕
    Ͱ͖·͢ɻҰൠతʹ͸֤ϨΠϠʹରͯ͠ରࡦΛߦ͏ଟ૚๷ޚͷߟ͑ํ͕ਪ঑͞Ε·͢ɻ
    ಛʹίϯςφΛѻ͏ίϯςφ։ൃऀͷཱ৔Ͱ͸ɺίϯςφΠϝʔδ΍ίϯςφͦͷ΋ͷͷ
    ηΩϡϦςΟʹ஫ҙΛ޲͚Δඞཁ͕͋Γ·͢ɻ "QQMJDBUJPO 安全なワークロードをコンテナとして実行する 安全なコンテナ実行環境を提供する $POUBJOFS
    *NBHF $POUBJOFS

    ,VCFSOFUFT $MPVE%BUBDFOUFS コンテナ開発者

15. 
    ,VCFSOFUFTίϯςφηΩϡϦςΟ ϦεΫҼࢠͷࠞೖ Πϝʔδͷྲྀग़ ίϯςφΠϝʔδͷվ᜵ ίϯςφͷઃఆෆඋ Ϧιʔεͷա৒ར༻ ա৒ͳݖݶ ൿີ৘ใͷྲྀग़ ෆਖ਼ͳ௨৴ ίϯςφ։ൃऀͷཱ৔Ͱ΋ηΩϡϦςΟʹ͍ͭͯߟ͑Δ΂͖ࣄ߲͸ͨ͘͞Μ͋Γ·͢ɻ

    ✅
    08"41
    ,VCFSOFUFT
    5PQ
    5FO
    ɹɹIUUQTPXBTQPSHXXXQSPKFDULVCFSOFUFTUPQUFO
    ✅
    /*45
    41
    
    "QQMJDBUJPO
    $POUBJOFS
    4FDVSJUZ
    (VJEF
    ɹɹIUUQTOWMQVCTOJTUHPWOJTUQVCTTQFDJBMQVCMJDBUJPOTOJTUTQQEG

16. 
    ,VCFSOFUFTίϯςφηΩϡϦςΟ ϦεΫҼࢠͷࠞೖ Πϝʔδͷྲྀग़ ίϯςφΠϝʔδͷվ᜵ ίϯςφͷઃఆෆඋ Ϧιʔεͷա৒ར༻ ա৒ͳݖݶ ൿີ৘ใͷྲྀग़ ෆਖ਼ͳ௨৴ ίϯςφ։ൃऀͷཱ৔Ͱ΋ηΩϡϦςΟʹ͍ͭͯߟ͑Δ΂͖ࣄ߲͸ͨ͘͞Μ͋Γ·͢ɻ

    ✅
    08"41
    ,VCFSOFUFT
    5PQ
    5FO
    ɹɹIUUQTPXBTQPSHXXXQSPKFDULVCFSOFUFTUPQUFO
    ✅
    /*45
    41
    
    "QQMJDBUJPO
    $POUBJOFS
    4FDVSJUZ
    (VJEF
    ɹɹIUUQTOWMQVCTOJTUHPWOJTUQVCTTQFDJBMQVCMJDBUJPOTOJTUTQQEG

17. 
    ίϯςφͷઃఆෆඋʹΑΔϦεΫ 08"41
    ,VCFSOFUFT
    5PQ
    5FO
    5PQ
    
    ,VCFSOFUFT
    3JTLT
    
    
    ΑΓ IUUQTPXBTQPSHXXXQSPKFDULVCFSOFUFTUPQUFOFOTSD,JOTFDVSFXPSLMPBEDPO fi HVSBUJPOT

18. 
    ίϯςφͷઃఆෆඋʹΑΔϦεΫ ίϯςφ͸ίϯςφϗετ͔ΒݟΕ͹ͭͷϓϩηεʹա͗·ͤΜɻ
    ௨ৗͷϓϩηεͱͷҧ͍͸ɺ-JOVYΧʔωϧͷ༷࣋ͭʑͳ࢓૊ΈʹΑΓ
    ίϯςφϓϩηε͕ଞ͔Βִ཭͞Ε͍ͯΔ఺Ͱ͢ɻ $POUBJOFS
    1SPDFTT 1SPDFTT
    " 1SPDFTT
    # 全て1プロセスに過ぎない ࣮ߦ؀ڥݖݶϦιʔε
    

    ͷ؍఺Ͱִ཭ ίϯςφϗετ /PEF

19. 
    ίϯςφͷઃఆෆඋʹΑΔϦεΫ ίϯςφΛѻ͏্Ͱͷ୅දతͳηΩϡϦςΟϦεΫͱͯ͠$POUBJOFS
    #SFBLPVU͕͋Γ·͢ɻ
    ίϯςφ͸ִ཭͞Εͨ؀ڥΛ࡞Γग़ٕ͢ज़Ͱ͕͢ɺίϯςφͷઃఆෆඋ΍੬ऑੑ౳͕ཁҼͱͳΓɺ
    ίϯςφͷִ཭؀ڥ͔Β֎෦ʹӨڹΛٴ΅͢͜ͱ͕ՄೳʹͳΔ৔߹͕͋Γ·͢ɻ
    ಛʹίϯςφ͸ෳ਺ͷίϯςφ͕ಉҰͷίϯςφϗετͰ࣮ߦ͞ΕΔέʔε͕ҰൠతͰ͋ΔͨΊɺ
    $POUBJOFS
    #SFBLPVU͕੒ཱ͢ΔͱͦͷӨڹ͕ଞͷίϯςφʹ೾ٴ͢ΔϦεΫ΋͋Γ·͢ɻ $POUBJOFS
    1SPDFTT ίϯςφϗετ /PEF

    $POUBJOFS
    1SPDFTT

20. 
    ίϯςφͷઃఆෆඋʹΑΔϦεΫ ίϯςφ։ൃऀ͕ઃఆෆඋͷ͋ΔίϯςφΛɺ,VCFSOFUFTʹ1PEͱͯ͠σϓϩΠͨ͠
    έʔεΛߟ͑·͢ɻ OPEF TBNQMFXFC CBDLFOEBQQ 
    LVCFDUM
    BQQMZ
    G
    TBNQMFXFCZBNM

21. 
    ίϯςφͷઃఆෆඋʹΑΔϦεΫ ԿΒ͔ͷཁҼʹΑΓɺ߈ܸऀ͕1PEʹؚ·ΕΔίϯςφʹ৵ೖͨ͠ͱ͠·͢ɻ
    ຊདྷͰ͋Ε͹৵ೖʹΑΔӨڹ͸ɺίϯςφ಺ʹཹ·Δ΂͖Ͱ͢ɻ OPEF 
    IPTUOBNF
    TBNQMFXFC
    
    XIPBNJ
    SPPU Podに侵入 TBNQMFXFC

    CBDLFOEBQQ

22. 
    ίϯςφͷઃఆෆඋʹΑΔϦεΫ ͔͠͠ίϯςφʹઃఆෆඋ͕͋Δͱɺίϯςφ͔Βίϯςφϗετ /PEF ΁ͷ৵ೖΛڐͯ͠͠·͏
    ৔߹͕͋Γ·͢ɻ OPEF TBNQMFXFC CBDLFOEBQQ (勝った...!) ✌

    
    OTFOUFS
    U
    
    B
    CJOCBTI
    
    QZUIPO
    D
    JNQPSU
    QUZ
    QUZTQBXO CJOCBTI 
    SPPU!OPEF
    IPTUOBNF
    OPEF
    SPPU!OPEF
    XIPBNJ
    SPPU コンテナからNodeに侵入できた

23. 
    ίϯςφͷઃఆෆඋʹΑΔϦεΫ ͞Βʹίϯςφϗετʹ৵ೖ͞Εͨ͜ͱͰɺଞͷίϯςφʹӨڹ͕ٴͿՄೳੑ΋͋Γ·͢ɻ OPEF TBNQMFXFC CBDLFOEBQQ 👍 SPPU!OPEF
    DSJDUM
    QT
    $0/5"*/&3
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    /".&
    
    
    
    
    
    
    10%
    ECCGCB
    
    
    
    
    
    
    
    
    
    VCVOUV
    
    
    
    
    
    TBNQMFXFC
    EBBFDGD
    
    
    
    
    
    
    
    
    
    
    BQQ
    
    
    
    
    
    
    
    
    
    
    CBDLFOEBQQ
    

    SPPU!CBDLFOEBQQ
    DSJDUM
    FYFD
    JU
    EBBFDGD
    CJOCBTI
    SPPU!CBDLFOEBQQ
    MT
    EBUB
    DSFEFOUJBMT
    SPPU!CBDLFOEBQQ
    DBU
    EBUBDSFEFOUJBMT
    %"5"#"4&@)045
    ECFYBNQMFDPN
    %"5"#"4&@1035
    
    %"5"#"4&@/".&
    DVTUPNFS
    %"5"#"4&@64&3/".&
    VTFS
    %"5"#"4&@1"44803%
    1!TTXSE 他のコンテナに含まれる 秘密情報を奪取できた

24. 
    ίϯςφͷઃఆෆඋʹΑΔϦεΫ ࠓճͷέʔεͰ1PEͷσϓϩΠʹ࢖༻͞Ε͍ͯͨϚχϑΣετ͸ҎԼͷ௨ΓͰ͢ɻ
    ͜ͷϚχϑΣετͰ͸ίϯςφʹର͢Δͭͷ੬ऑͳઃఆؚ͕·Ε͍ͯ·͢ɻ BQJ7FSTJPO
    W
    LJOE
    1PE
    NFUBEBUB
    OBNF
    TBNQMFXFC
    MBCFMT
    BQQ
    TBNQMFXFC
    TQFD
    

    IPTU1*%
    USVF
    DPOUBJOFST
    
    OBNF
    VCVOUV
    JNBHF
    VCVOUV
    DPNNBOE
    <CJOCBTI
    D
    TMFFQ
    JO fi OJUZ>
    TFDVSJUZ$POUFYU
    QSJWJMFHFE
    USVF TBNQMFXFCZBNM

25. 
    ίϯςφͷઃఆෆඋʹΑΔϦεΫ ௨ৗίϯςφϓϩηε͸ɺίϯςφϗετʹର͢Δݖݶ੍͕ݶ͞Εͨঢ়ଶͰ࣮ߦ͞Ε·͢ɻ
    ͔͠͠QSJWJMFHFE
    USVFͱ͍͏ઃఆʹΑΓɺ͜ͷ੍ݶ͕ແޮԽ͞Ε·͢ɻ
    ·ͨɺίϯςφϓϩηε͸௨ৗͷϓϩηεͱ࣮ߦۭؒΛִ཭࣮ͯ͠ߦ͞ΕΔͨΊɺ
    ຊདྷίϯςφϗετ্ͷϓϩηεΛࢀরग़དྷ·ͤΜɻ -JOVYͷ1*%
    /BNFTQBDFͱ͍͏࢓૊ΈʹΑΔ
    ͔͠͠IPTU1*%
    USVFͱ͍͏ઃఆʹΑΓɺ͜ͷִ཭͕ແޮԽ͞Ε·͢ɻ $POUBJOFS
    1SPDFTT

    1SPDFTT
    " 1SPDFTT
    # QSJWJMFHFE
    USVF
    -JOVYΧʔωϧʹର͢Δ
    ੍ݶ͕ແޮԽ͞Εͨঢ়ଶ IPTU1*%
    USVF
    ଞϓϩηεΛ
    ࢀরՄೳͳঢ়ଶ ίϯςφϗετ /PEF

26. 
    ͜ͷྫ͔Βֶ΂Δ͜ͱ ✅
    ίϯςφͷઃఆෆඋʹΑͬͯ$POUBJOFS
    #SFBLPVU͕ൃੜ͠ಘΔ
    ɹࠓճͷΑ͏ͳQSJWJMFHFE
    USVF΍IPTU1*%
    USVF͸ۃྗආ͚Δ΂͖
    ✅
    ίϯςφ͸ͦͷ࢓૊Έ্$POUBJOFS
    #SFBLPVUͷϦεΫΛሃΜͰ͍Δ
    ɹԿΒ͔ͷཧ༝Ͱ$POUBJOFS
    #SFBLPVU͕Ҿ͖ى͜͞ΕΔͱͦͷӨڹ͸ਙେ

27. 
    ରࡦ
    ίϯςφͷִ཭ੑΛҡ࣋ɾ޲্ͤ͞Δ ίϯςφ։ൃऀ͕ίϯςφΛ࣮ߦ͢Δࡍ͸͜ͷΑ͏ͳϦεΫΛ౿·͑ɺ
    ʮίϯςφͷִ཭ੑΛҡ࣋ɾ޲্ʯͤ͞ΔͨΊͷରࡦΛߦ͏ඞཁ͕͋Γ·͢ɻ ίϯςφϗετ /PEF ίϯςφ֎ʹӨڹ $POUBJOFS
    1SPDFTT $POUBJOFS
    1SPDFTT

    ίϯςφͷִ཭ੑ͕֬อ͞Ε͓ͯΓ
    ηΩϡϦςΟϨϕϧ͕ߴ͍ঢ়ଶ ίϯςφͷִ཭ੑ͕֬อ͞Ε͓ͯΒͣ
    ηΩϡϦςΟϨϕϧ͕௿͍ঢ়ଶ #SFBLPVU

28. 
    ରࡦ
    ίϯςφͷִ཭ੑΛҡ࣋ɾ޲্ͤ͞Δ
    1PE
    4FDVSJUZ
    4UBOEBSET
    
    
    IUUQTLVCFSOFUFTJPEPDTDPODFQUTTFDVSJUZQPETFDVSJUZTUBOEBSET Pod Security Standards* ✅
    ෆཁͳઃఆΛߦΘͳ͍
    ɹɹίϯςφͱͯ͠࠷௿ݶͷִ཭ੑΛ֬อ͢Δ
    ✅
    ִ཭ੑΛߴΊΔઃఆΛߦ͏
    ɹɹ௥ՃͷઃఆʹΑΓִ཭ੑΛ͞ΒʹߴΊΔ
    

    ɹɹ ྫ͑͹੬ऑੑ౳ʹΑִͬͯ཭ੑͷ௿Լ͕ىͬͯ͜΋ॿ͔ΔՄೳੑ͕͋Δ
    ✅
    ίϯςφઃఆͷεΩϟϯ
    ɹɹίϯςφʹରִͯ͠཭ੑͷ௿Լʹܨ͕Δઃఆ͕ߦΘΕ͍ͯͳ͍͔Λݕ஌
    ɹɹFH
    ,VCFSOFUFTͰ͋Ε͹1PEͷઃఆΛεΩϟϯ 5SJWZ LVCFMJOUFS
    FUD
    ✅
    ͦͷଞ
    ɹɹϙϦγʔ੍ޚɺηΩϡΞͳίϯςφϥϯλΠϜɺৼΔ෣͍؂ࢹ
    FUD

29. 
    ࢀߟ
    ίϯςφʹؔ͢ΔͦͷͦͷଞͷϦεΫͷྫ ✅
    ίϯςφΠϝʔδ΁ͷϦεΫҼࢠͷࠞೖ
    ɹ😱
    ίϯςφ΁ͷ৵ೖ
    ✅
    ίϯςφΠϝʔδͷެ։ઃఆͷෆඋ
    ɹ😱
    ίϯςφΠϝʔδͷྲྀग़
    ✅
    ίϯςφΠϝʔδͷ৴པੑෆ଍
    ɹ😱
    վ᜵͞ΕͨίϯςφΠϝʔδͷ࢖༻
    ✅
    ίϯςφΠϝʔδ΁ͷൿີ৘ใͷࠞೖ
    

    ɹ😱
    ίϯςφΠϝʔδ͔Βൿີ৘ใͷୣऔɹ
    ✅
    ίϯςφͷϧʔτϑΝΠϧγεςϜ΁ͷॻ͖ࠐΈڐՄ
    ɹ😱
    ίϯςφͷվ᜵ ✅
    ίϯςφͷແ੍ݶͳϦιʔε࢖༻
    ɹ😱
    ίϯςφϗετͷϦιʔεͷա৒ͳ࢖༻
    ✅
    1PE΁ͷա৒ͳݖݶͷ෇༩
    ɹ😱
    ,VCFSOFUFTͷෆਖ਼ͳૢ࡞
    ✅
    ίϯςφ͕࢖༻͢Δൿີ৘ใͷෆద੾ͳ؅ཧ
    ɹ😱
    ίϯςφͷൿີ৘ใͷྲྀग़
    ✅
    1PEʹର͢Δ௨৴੍ݶͷະ࣮ࢪ
    ɹ😱
    1PEʹର͢Δෆਖ਼ͳ௨৴

30. 
    13 "NB[PO ✅
    ୅දతͳϦεΫΛ࣮ײ͠ରࡦͷߟ͑ํʢجૅʣΛཧղͰ͖Δ
    ɹɹ✔
    ϦεΫΛϕʔεͱͨ͠ষߏ੒ʢશέʔεʴЋʣ
    ɹɹ✔
    ϦεΫΛ౿·͑ͯରࡦͷجຊݪଇ΍۩ମతख๏ରࡦΛཧղͰ͖Δ
    ✅
    ϋϯζΦϯΛ௨ͯ͡۩ମతʹཧղͰ͖Δ
    ɹɹ✔
    खΛಈ͔͠ͳ͕Βֶ΂ΔʢϋϯζΦϯ཰͘Β͍ʣ
    ɹɹ✔
    ,VCFSOFUFT޷͖Ͱ͋Ε͹ͦ͜·ͰηΩϡϦςΟʹڵຯ͕ͳ͍ਓͰ΋ָ͠ΊΔ ϦεΫ͔ΒֶͿ,VCFSOFUFTίϯςφηΩϡϦςΟ
    ίϯςφ։ൃऀ͕͓͓͑ͯ͘͞΂͖جૅ஌ࣝ

    ίϯςφηΩϡϦςΟΛֶͿೖΓޱ 絶賛発売中!!

31. ໊༷ʹϓϨθϯτ🎁 Findy様、ありがとうございます🙏 アンケートへの 回答で

32. 5IBOL
    :PV